CVE-2026-33481 in syftИнформация

Сводка

по VulDB • 05.06.2026

Syft — это инструмент командной строки (CLI) и библиотека на языке Go для формирования спецификации состава программного обеспечения (SBOM) на основе контейнерных образов и файловых систем. В версиях Syft до v1.42.3 не обеспечивалась корректная очистка временного хранилища, если оно заполнялось в процессе сканирования. При сканировании архивов Syft распаковывает их во временное хранилище, а затем проверяет распакованное содержимое. В штатном режиме работы Syft удаляет временные данные после завершения сканирования. Данная уязвимость затрагивает пользователей Syft, которые сканируют контент, способный привести к заполнению временного хранилища, что вызывает возникновение ошибки и завершение работы программы. При срабатывании ошибки Syft завершает работу, не удаляя корректно используемые временные файлы. В ходе тестирования это наиболее легко воспроизводилось при сканировании очень больших артефактов или сильно сжатых артефактов, таких как zipbomb. Поскольку Syft не очищал временные файлы, это приводило к заполнению места во временном хранилище, что препятствовало последующим запускам Syft или других системных утилит, зависящих от доступности временного хранилища. Патч выпущен в версии v1.42.3. Теперь Syft очищает временные файлы при возникновении условия ошибки. Обходных путей (workarounds) для данной уязвимости в Syft не существует. Пользователи, обнаружившие исчерпание места во временном хранилище, могут удалить временные файлы вручную.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353671

EPSS

0.00408

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!