CVE-2026-50163 in oras-go
Résumé
par VulDB • 17/07/2026
oras-go est une bibliothèque Go destinée à la gestion des artefacts OCI. Avant la version 2.6.2, la fonction ensureLinkPath dans content/file/utils.go:262-275 valide la cible d'un lien matériel (hardlink) par rapport à la base d'extraction, mais retourne la cible non résolue. Cela entraîne une résolution de header.Linkname contre le répertoire de travail courant du processus pour l'appel os.Link("victim.secret", "<extract_base>/payload.tar.gz/evil_cwd_link") lors d'une entrée Typeflag=TypeLink telle que Name=payload.tar.gz/evil_cwd_link et Linkname="victim.secret" avec io.deis.oras.content.unpack: "true". Cette vulnérabilité peut exposer ou altérer des fichiers tels que .env, .git/config, .aws/credentials et ~/.ssh/config. Ce problème est corrigé dans la version 2.6.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.