CVE-2026-33481 in syftinformação

Sumário

de VulDB • 11/05/2026

Syft é uma ferramenta de linha de comando (CLI) e uma biblioteca Go para gerar uma Lista de Materiais de Software (SBOM) a partir de imagens de contêiner e sistemas de arquivos. As versões do Syft anteriores à v1.42.3 não limpavam adequadamente o armazenamento temporário se este ficasse exaurido durante uma análise. Ao analisar arquivos compactados, o Syft os descompacta no armazenamento temporário e, em seguida, inspeciona o conteúdo descompactado. Em condições normais de operação, o Syft remove os dados temporários que escreve após concluir uma análise. Esta vulnerabilidade afetaria os usuários do Syft que estivessem analisando conteúdo que pudesse causar o preenchimento do armazenamento temporário, fazendo com que o Syft gerasse um erro e encerrasse. Quando o erro é acionado, o Syft encerra sem remover adequadamente os arquivos temporários em uso. Em nossos testes, isso foi mais facilmente reproduzido analisando artefatos muito grandes ou artefatos altamente compactados, como uma zipbomb. Como o Syft não limpava seus arquivos temporários, o resultado seria o preenchimento do armazenamento de arquivos temporários, impedindo execuções futuras do Syft ou de outros utilitários do sistema que dependem da disponibilidade de armazenamento temporário. O patch foi lançado na v1.42.3. O Syft agora limpa os arquivos temporários quando uma condição de erro é encontrada. Não há soluções alternativas (workarounds) para esta vulnerabilidade no Syft. Os usuários que verificarem o esgotamento de seu armazenamento temporário podem remover manualmente os arquivos temporários.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353671

CPE

pronto

EPSS

0.00408

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!