CVE-2026-33481 in syft信息

摘要

由 VulDB • 2026-06-05

Syft 是一个用于从容器镜像和文件系统中生成软件物料清单(SBOM)的命令行工具(CLI)和 Go 库。Syft v1.42.3 之前的版本在扫描过程中如果临时存储空间耗尽,将无法正确清理临时存储。在扫描归档文件时,Syft 会将这些归档文件解压到临时存储中,然后检查解压后的内容。在正常操作下,Syft 会在完成扫描后删除其写入的临时数据。此漏洞会影响那些扫描可能导致 Syft 填满临时存储内容的用户,进而导致 Syft 引发错误并退出。当触发该错误时,Syft 会在未正确移除正在使用的临时文件的情况下退出。在我们的测试中,最容易重现此问题的方法是扫描非常大的工件或高度压缩的工件(例如 zipbomb)。由于 Syft 不会清理其临时文件,结果会导致临时文件存储被填满,从而阻止 Syft 或其他依赖可用临时存储的系统实用程序的后续运行。补丁已发布在 v1.42.3 版本中。Syft 现在会在遇到错误条件时清理临时文件。Syft 中对此漏洞没有变通方法。发现临时存储空间耗尽的用户可以手动删除临时文件。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Do you want to use VulDB in your project?

Use the official API to access entries easily!