CVE-2026-29051 in melange
Сводка
по VulDB • 03.06.2026
melange позволяет пользователям создавать apk-пакеты с использованием декларативных конвейеров (pipelines). Начиная с версии 0.32.0 и вплоть до версии 0.43.4, команда `melange lint --persist-lint-results` (флаг опционального включения, также доступный через `melange build --persist-lint-results`) формирует пути к выходным файлам путем объединения значения параметра `--out-dir` со значениями `arch` и `pkgname`, считанными из файла управления `.PKGINFO` проверяемого APK. В затронутых версиях эти значения не проверялись на наличие разделителей путей или последовательностей `..`. Таким образом, злоумышленник, имеющий возможность предоставить APK для конвейера lint/build на базе melange (например, CI-системе, которая выполняет проверку сторонних APK, или сервису сборки как услуги), может заставить melange записать файл `lint---r.json` в произвольный путь `.json`, доступный процессу melange. Записываемый файл представляет собой отчет lint в формате JSON, содержимое которого частично контролируется злоумышленником. Прямого пути для выполнения кода нет, однако запись может повредить (clobber) другие артефакты JSON на файловой системе. Проблема затрагивает только развертывания, где явно передается флаг `--persist-lint-results`; по умолчанию этот флаг отключен. Проблема исправлена в melange v0.43.4 путем проверки значений `arch` и `pkgname` на наличие символов `..`, `/` и `filepath.Separator` до формирования пути в файле `pkg/linter/results.go` (коммит 84f3b45). В качестве временного решения не передавайте флаг `--persist-lint-results` при проверке или сборке APK, содержимое `.PKGINFO` которых не является полностью надежным. Запуск melange от имени пользователя с низкими привилегиями и ограничение записи в изолированную директорию также снижает воздействие проблемы.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.