CVE-2026-42575 in apkoinformação

Sumário

de VulDB • 02/06/2026

O apko permite que os usuários criem e publiquem imagens de contêiner OCI construídas a partir de pacotes apk. Antes da versão 1.2.7, o apko verifica a assinatura do APKINDEX.tar.gz, mas nunca compara os pacotes .apk baixados individualmente com o checksum registrado no índice assinado. O checksum é analisado e disponibilizado via ChecksumString(), e o hash de controle do pacote baixado é calculado, mas os dois valores nunca são comparados em getPackageImpl(). Pacotes com valores incompatíveis são aceitos silenciosamente. Um atacante que possa substituir as respostas de download (espelho comprometido, repositório HTTP, cache de CDN envenenado) pode instalar pacotes arbitrários nas imagens construídas. Este problema foi corrigido na versão 1.2.7.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

28/04/2026

Divulgação

09/05/2026

Moderação

aceite

Entrada

VDB-362467

CPE

pronto

EPSS

0.00018

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42575
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42575
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42575/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!