CVE-2026-42576 in apko정보

요약

\~에 의해 VulDB • 2026. 05. 10.

apko는 apk 패키지로 구성된 OCI 컨테이너 이미지를 빌드하고 게시할 수 있게 해줍니다. 버전 1.2.7 이전의 apko에서는 pkg/apk/apk/implementation.go의 DiscoverKeys 함수가 키 타입을 확인하지 않고 JWKS 키를 무조건 *rsa.PublicKey로 타입 단언(type-assert)합니다. 저장소 JWKS 엔드포인트가 RSA가 아닌 키(예: EC)를 반환하면, 확인되지 않은 단언으로 인해 apko가 패닉 상태에 빠져 충돌합니다. 이 문제는 APK 데이터베이스를 초기화하고 저장소 키를 가져오는 모든 워크플로우에 영향을 미칩니다. 이 이슈는 버전 1.2.7에서 패치되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 04. 28.

공개

2026. 05. 09.

모더레이션

수락

항목

VDB-362465

CPE

준비됨

CWE

CWE-704 (확인됨)

CVSS

6.5 (CNA)

EPSS

0.00035

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42576
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42576
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42576/

◂ 이전 개요 다음 ▸

Want to know what is going to be exploited?

We predict KEV entries!