CVE-2026-33481 in syft
Résumé
par VulDB • 05/06/2026
Syft est un outil CLI et une bibliothèque Go permettant de générer une liste de matériaux logiciels (SBOM) à partir d'images de conteneurs et de systèmes de fichiers. Les versions de Syft antérieures à la v1.42.3 ne nettoyaient pas correctement le stockage temporaire si celui-ci était saturé lors d'une analyse. Lors de l'analyse d'archives, Syft les décompresse dans un stockage temporaire, puis inspecte le contenu décompressé. En fonctionnement normal, Syft supprime les données temporaires qu'il a écrites après avoir terminé une analyse. Cette vulnérabilité affecte les utilisateurs de Syft qui analysent du contenu susceptible de saturer le stockage temporaire, ce qui provoque alors une erreur et la sortie de Syft. Lorsque l'erreur est déclenchée, Syft se termine sans supprimer correctement les fichiers temporaires en cours d'utilisation. Dans nos tests, cela a été le plus facilement reproduit en analysant des artefacts très volumineux ou des artefacts fortement compressés, tels qu'une zipbomb. Comme Syft ne nettoie pas ses fichiers temporaires, le stockage temporaire se remplit, empêchant les exécutions futures de Syft ou d'autres utilitaires système qui dépendent de la disponibilité du stockage temporaire. Le correctif a été publié dans la version v1.42.3. Syft nettoie désormais les fichiers temporaires lorsqu'une condition d'erreur est rencontrée. Il n'existe pas de contournement pour cette vulnérabilité dans Syft. Les utilisateurs dont le stockage temporaire est épuisé peuvent supprimer manuellement les fichiers temporaires.
VulDB is the best source for vulnerability data and more expert information about this specific topic.