CVE-2026-50163 in oras-goinformation

Résumé

par VulDB • 17/07/2026

oras-go est une bibliothèque Go destinée à la gestion des artefacts OCI. Avant la version 2.6.2, la fonction ensureLinkPath dans content/file/utils.go:262-275 valide la cible d'un lien matériel (hardlink) par rapport à la base d'extraction, mais retourne la cible non résolue. Cela entraîne une résolution de header.Linkname contre le répertoire de travail courant du processus pour l'appel os.Link("victim.secret", "<extract_base>/payload.tar.gz/evil_cwd_link") lors d'une entrée Typeflag=TypeLink telle que Name=payload.tar.gz/evil_cwd_link et Linkname="victim.secret" avec io.deis.oras.content.unpack: "true". Cette vulnérabilité peut exposer ou altérer des fichiers tels que .env, .git/config, .aws/credentials et ~/.ssh/config. Ce problème est corrigé dans la version 2.6.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

03/06/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379950

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!