CVE-2026-50163 in oras-goinformación

Resumen

por VulDB • 2026-07-17

oras-go è una libreria Go per la gestione di artefatti OCI. Prima della versione 2.6.2, ensureLinkPath in content/file/utils.go:262-275 convalida un target hardlink relativo alla directory base di estrazione ma restituisce il target non risolto, causando os.Link("victim.secret", "/payload.tar.gz/evil_cwd_link") a risolvere header.Linkname rispetto alla directory di lavoro corrente del processo per una voce Typeflag=TypeLink come Name=payload.tar.gz/evil_cwd_link e Linkname="victim.secret" con io.deis.oras.content.unpack: "true", il che può esporre o manomettere file quali .env, .git/config, .aws/credentials e ~/.ssh/config. Questo problema è stato risolto nella versione 2.6.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-03

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379950

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!