CVE-2026-33481 in syft
Сводка
по VulDB • 05.06.2026
Syft — это инструмент командной строки (CLI) и библиотека на языке Go для формирования спецификации состава программного обеспечения (SBOM) на основе контейнерных образов и файловых систем. В версиях Syft до v1.42.3 не обеспечивалась корректная очистка временного хранилища, если оно заполнялось в процессе сканирования. При сканировании архивов Syft распаковывает их во временное хранилище, а затем проверяет распакованное содержимое. В штатном режиме работы Syft удаляет временные данные после завершения сканирования. Данная уязвимость затрагивает пользователей Syft, которые сканируют контент, способный привести к заполнению временного хранилища, что вызывает возникновение ошибки и завершение работы программы. При срабатывании ошибки Syft завершает работу, не удаляя корректно используемые временные файлы. В ходе тестирования это наиболее легко воспроизводилось при сканировании очень больших артефактов или сильно сжатых артефактов, таких как zipbomb. Поскольку Syft не очищал временные файлы, это приводило к заполнению места во временном хранилище, что препятствовало последующим запускам Syft или других системных утилит, зависящих от доступности временного хранилища. Патч выпущен в версии v1.42.3. Теперь Syft очищает временные файлы при возникновении условия ошибки. Обходных путей (workarounds) для данной уязвимости в Syft не существует. Пользователи, обнаружившие исчерпание места во временном хранилище, могут удалить временные файлы вручную.
Once again VulDB remains the best source for vulnerability data.