CVE-2026-50163 in oras-goinformação

Sumário

de VulDB • 17/07/2026

oras-go é uma biblioteca Go para gerenciar artefatos OCI. Antes da versão 2.6.2, a função ensureLinkPath em content/file/utils.go:262-275 valida o destino de um hardlink relativo à base de extração, mas retorna o destino não resolvido, fazendo com que os.Link("victim.secret", "/payload.tar.gz/evil_cwd_link") resolva header.Linkname contra o diretório de trabalho atual do processo para uma entrada Typeflag=TypeLink como Name=payload.tar.gz/evil_cwd_link e Linkname="victim.secret" com io.deis.oras.content.unpack: "true", o que pode expor ou adulterar arquivos como .env, .git/config, .aws/credentials e ~/.ssh/config. Este problema foi corrigido na versão 2.6.2.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

03/06/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379950

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!