CVE-2026-33481 in syft情報

要約

〜によって VulDB • 2026年05月10日

Syftは、コンテナイメージやファイルシステムからソフトウェア部品表(SBOM)を生成するためのCLIツールおよびGoライブラリです。v1.42.3以前のSyftのバージョンでは、スキャン中に一時ストレージが不足した場合、一時ストレージが適切にクリーンアップされませんでした。アーカイブをスキャンする際、Syftはそれらのアーカイブを一時ストレージに展開し、展開されたコンテンツを検査します。通常の動作では、Syftはスキャンの完了後に書き込んだ一時データを削除します。この脆弱性は、Syftの一時ストレージを埋め尽くす可能性のあるコンテンツをスキャンするユーザーに影響を与えます。その結果、Syftはエラーを発生させて終了します。エラーが発生すると、Syftは使用中の一時ファイルを適切に削除せずに終了します。私たちのテストでは、非常に大きなアーティファクトやzipbombのような高圧縮アーティファクトをスキャンすることで、この現象を最も簡単に再現できました。Syftが一時ファイルをクリーンアップしないため、一時ファイルストレージが埋め尽くされ、Syftの将来の実行や、利用可能な一時ストレージに依存する他のシステムユーティリティの実行が妨げられることになります。この問題はv1.42.3でリリースされたパッチによって修正されました。Syftは、エラー条件が発生した際に一時ファイルをクリーンアップするようになりました。この脆弱性に対するSyft内の回避策はありません。一時ストレージが枯渇していることに気づいたユーザーは、手動で一時ファイルを削除することができます。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年03月20日

モデレーション

承諾済み

エントリ

VDB-353671

EPSS

0.00408

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!