CVE-2026-50163 in oras-go情報

要約

〜によって VulDB • 2026年07月17日

oras-goはOCIアーティファクトを管理するためのGoライブラリです。バージョン2.6.2より前では、content/file/utils.goのensureLinkPath関数(行262-275)がextractベースに対するハードリンクターゲットを検証しますが、解決されていないターゲットを返すため、os.Link("victim.secret", "/payload.tar.gz/evil_cwd_link")呼び出しにおいて、Name=payload.tar.gz/evil_cwd_linkおよびLinkname="victim.secret"を持つTypeflag=TypeLinkエントリに対してheader.Linknameがプロセスの現在作業ディレクトリに対して解決されます(io.deis.oras.content.unpack: "true"の場合)。これにより、.env、.git/config、.aws/credentials、~/.ssh/configなどのファイルへのアクセスや改ざんが可能になります。この問題はバージョン2.6.2で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年06月03日

モデレーション

承諾済み

エントリ

VDB-379950

EPSS

0.00000

アクティビティ

低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!