CVE-2026-29050

Name of the Vulnerable Software and Affected Versions melange versões 0.32.0 até 0.43.3

Description Um invasor capaz de influenciar um arquivo de configuração, como em cenários de CI orientados por pull-request ou build-as-a-service, pode manipular a variável pipeline[].uses para incluir caminhos absolutos ou sequências ../. A função compilePipeline() em pkg/build/compile.go não valida essa variável antes de passá-la para filepath.Join(), permitindo que o processo leia arquivos arbitrários interpretáveis em YAML fora do diretório de pipeline designado. Como o arquivo carregado é interpretado como um pipeline e seu bloco runs: é executado via /bin/sh -c dentro do sandbox de build, isso permite a execução de comandos de shell não autorizados a partir de arquivos fora da árvore, ignorando os limites de revisão padrão.

Recommendations Atualizar para a versão 0.43.4. Executar melange build apenas com arquivos de configuração de fontes confiáveis. Em sistemas de CI que processam configurações fornecidas por usuários, implementar a revisão manual dos valores de pipeline[].uses e rejeitar qualquer um que contenha .. ou / inicial.