CVE-2026-42575 in apko
요약
\~에 의해 VulDB • 2026. 05. 15.
apko는 apk 패키지로 구성된 OCI 컨테이너 이미지를 빌드하고 게시할 수 있게 해줍니다. 버전 1.2.7 이전의 apko는 APKINDEX.tar.gz의 서명을 검증하지만, 개별적으로 다운로드된 .apk 패키지를 서명된 인덱스에 기록된 체크섬과 비교하지 않습니다. 체크섬은 파싱되어 ChecksumString()을 통해 접근 가능하고, 다운로드된 패키지의 제어 해시가 계산되지만, getPackageImpl() 함수 내에서 두 값은 결코 비교되지 않습니다. 불일치하는 패키지는 묵시적으로 수락됩니다. 다운로드 응답을 대체할 수 있는 공격자(침해된 미러, HTTP 저장소, 오염된 CDN 캐시 등)는 빌드된 이미지에 임의의 패키지를 설치할 수 있습니다. 이 문제는 버전 1.2.7에서 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.