CVE-2026-33481 in syft
摘要
由 VulDB • 2026-06-05
Syft 是一个用于从容器镜像和文件系统中生成软件物料清单(SBOM)的命令行工具(CLI)和 Go 库。Syft v1.42.3 之前的版本在扫描过程中如果临时存储空间耗尽,将无法正确清理临时存储。在扫描归档文件时,Syft 会将这些归档文件解压到临时存储中,然后检查解压后的内容。在正常操作下,Syft 会在完成扫描后删除其写入的临时数据。此漏洞会影响那些扫描可能导致 Syft 填满临时存储内容的用户,进而导致 Syft 引发错误并退出。当触发该错误时,Syft 会在未正确移除正在使用的临时文件的情况下退出。在我们的测试中,最容易重现此问题的方法是扫描非常大的工件或高度压缩的工件(例如 zipbomb)。由于 Syft 不会清理其临时文件,结果会导致临时文件存储被填满,从而阻止 Syft 或其他依赖可用临时存储的系统实用程序的后续运行。补丁已发布在 v1.42.3 版本中。Syft 现在会在遇到错误条件时清理临时文件。Syft 中对此漏洞没有变通方法。发现临时存储空间耗尽的用户可以手动删除临时文件。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.