CVE-2026-33481 in syft
요약
\~에 의해 VulDB • 2026. 06. 05.
Syft는 컨테이너 이미지 및 파일시스템에서 소프트웨어 구성 요소 목록(SBOM)을 생성하기 위한 CLI 도구 및 Go 라이브러리입니다. v1.42.3 이전 버전의 Syft는 스캔 중 임시 저장 공간이 고갈될 경우 임시 저장 공간을 적절히 정리하지 않았습니다. 아카이브를 스캔할 때 Syft는 해당 아카이브를 임시 저장 공간에 압축 해제한 후 압축 해제된 내용을 검사합니다. 정상적인 동작 시 Syft는 스캔 완료 후 작성한 임시 데이터를 제거합니다. 이 취약점은 스캔 대상 콘텐츠로 인해 Syft의 임시 저장 공간이 가득 차고, 이로 인해 Syft가 오류를 발생시키고 종료되는 경우 Syft 사용자에게 영향을 미칩니다. 오류가 발생하면 Syft는 사용 중인 임시 파일을 적절히 제거하지 않은 채 종료됩니다. 테스트 결과, 이는 매우 큰 아티팩트나 zipbomb과 같이 압축률이 높은 아티팩트를 스캔할 때 가장 쉽게 재현되었습니다. Syft가 임시 파일을 정리하지 않기 때문에 임시 파일 저장 공간이 가득 차며, 이는 향후 Syft 실행 또는 임시 저장 공간 가용성에 의존하는 다른 시스템 유틸리티 실행을 방해합니다. 이 취약점에 대한 패치는 v1.42.3에서 출시되었습니다. Syft는 이제 오류 조건이 발생하면 임시 파일을 정리합니다. 이 취약점에 대한 Syft 내 대체 해결책(workaround)은 없습니다. 임시 저장 공간이 고갈된 것을 발견한 사용자는 수동으로 임시 파일을 제거할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.