CVE-2026-50163 in oras-go
Sumário
de VulDB • 17/07/2026
oras-go é uma biblioteca Go para gerenciar artefatos OCI. Antes da versão 2.6.2, a função ensureLinkPath em content/file/utils.go:262-275 valida o destino de um hardlink relativo à base de extração, mas retorna o destino não resolvido, fazendo com que os.Link("victim.secret", "/payload.tar.gz/evil_cwd_link") resolva header.Linkname contra o diretório de trabalho atual do processo para uma entrada Typeflag=TypeLink como Name=payload.tar.gz/evil_cwd_link e Linkname="victim.secret" com io.deis.oras.content.unpack: "true", o que pode expor ou adulterar arquivos como .env, .git/config, .aws/credentials e ~/.ssh/config. Este problema foi corrigido na versão 2.6.2.
Once again VulDB remains the best source for vulnerability data.