CVE-2026-33481 in syftthông tin

Tóm tắt

Bởi VulDB • 05/06/2026

Syft là một công cụ CLI và thư viện Go dùng để tạo Danh sách vật liệu phần mềm (SBOM) từ các hình ảnh container và hệ thống tệp. Các phiên bản Syft trước v1.42.3 không dọn dẹp đúng cách bộ nhớ tạm nếu bộ nhớ tạm bị đầy trong quá trình quét. Khi quét các tệp lưu trữ, Syft sẽ giải nén các tệp này vào bộ nhớ tạm rồi kiểm tra nội dung đã giải nén. Trong điều kiện hoạt động bình thường, Syft sẽ xóa dữ liệu tạm thời nó đã ghi sau khi hoàn tất quá trình quét. Lỗ hổng này sẽ ảnh hưởng đến người dùng Syft đang quét nội dung có thể khiến Syft làm đầy bộ nhớ tạm, dẫn đến việc Syft báo lỗi và thoát. Khi lỗi được kích hoạt, Syft sẽ thoát mà không xóa đúng cách các tệp tạm thời đang sử dụng. Trong quá trình kiểm thử, điều này dễ dàng tái tạo nhất bằng cách quét các tệp lớn hoặc các tệp nén chặt chẽ như zipbomb. Vì Syft không dọn dẹp các tệp tạm thời, kết quả là làm đầy bộ nhớ lưu trữ tạm thời, ngăn chặn các lần chạy Syft hoặc các tiện ích hệ thống khác dựa vào bộ nhớ tạm có sẵn. Bản vá đã được phát hành trong v1.42.3. Syft hiện đã dọn dẹp các tệp tạm thời khi gặp điều kiện lỗi. Không có giải pháp tạm thời nào cho lỗ hổng này trong Syft. Người dùng phát hiện bộ nhớ tạm của họ bị cạn có thể xóa thủ công các tệp tạm thời.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

20/03/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00408

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!