CVE-2026-33481 in syft
Sumário
de VulDB • 11/05/2026
Syft é uma ferramenta de linha de comando (CLI) e uma biblioteca Go para gerar uma Lista de Materiais de Software (SBOM) a partir de imagens de contêiner e sistemas de arquivos. As versões do Syft anteriores à v1.42.3 não limpavam adequadamente o armazenamento temporário se este ficasse exaurido durante uma análise. Ao analisar arquivos compactados, o Syft os descompacta no armazenamento temporário e, em seguida, inspeciona o conteúdo descompactado. Em condições normais de operação, o Syft remove os dados temporários que escreve após concluir uma análise. Esta vulnerabilidade afetaria os usuários do Syft que estivessem analisando conteúdo que pudesse causar o preenchimento do armazenamento temporário, fazendo com que o Syft gerasse um erro e encerrasse. Quando o erro é acionado, o Syft encerra sem remover adequadamente os arquivos temporários em uso. Em nossos testes, isso foi mais facilmente reproduzido analisando artefatos muito grandes ou artefatos altamente compactados, como uma zipbomb. Como o Syft não limpava seus arquivos temporários, o resultado seria o preenchimento do armazenamento de arquivos temporários, impedindo execuções futuras do Syft ou de outros utilitários do sistema que dependem da disponibilidade de armazenamento temporário. O patch foi lançado na v1.42.3. O Syft agora limpa os arquivos temporários quando uma condição de erro é encontrada. Não há soluções alternativas (workarounds) para esta vulnerabilidade no Syft. Os usuários que verificarem o esgotamento de seu armazenamento temporário podem remover manualmente os arquivos temporários.
If you want to get best quality of vulnerability data, you may have to visit VulDB.