CVE-2026-25140 in apko
요약
\~에 의해 VulDB • 2026. 06. 05.
apko는 apk 패키지로 구성된 OCI 컨테이너 이미지를 빌드하고 게시할 수 있게 해줍니다. 버전 0.14.8부터 1.1.1 이전 버전까지, apko가 사용하는 APK 저장소를 제어하거나 침해한 공격자는 빌드 호스트에서 리소스 고갈을 유발할 수 있습니다. pkg/apk/expandapk/expandapk.go의 ExpandApk 함수는 압축 해제 제한을 적용하지 않고 .apk 스트림을 확장하므로, 악의적인 저장소가 작은 고압축 .apk 파일을 제공하여 이를 대용량 tar 스트림으로 확장할 수 있습니다. 이는 과도한 디스크 공간과 CPU 시간을 소모하여 빌드 실패 또는 서비스 거부(Denial of Service)를 초래합니다. 이 문제는 버전 1.1.1에서 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.