CVE-2026-29051

Name of the Vulnerable Software and Affected Versions melange versões 0.32.0 até 0.43.3

Description Ao usar a flag opcional '--persist-lint-results' via 'melange lint' ou 'melange build', o software constrói caminhos de arquivos de saída juntando o parâmetro '--out-dir' com os valores arch e pkgname lidos do arquivo de controle .PKGINFO do APK. Como esses valores não são validados quanto a separadores de caminho ou sequências '..', um invasor que forneça um APK malicioso para um pipeline de lint ou build poderia fazer com que o sistema escreva um relatório de lint JSON em um caminho .json arbitrário acessível pelo processo. Isso pode levar à sobreposição de outros artefatos JSON no sistema de arquivos. Este problema afeta apenas implementações onde a flag '--persist-lint-results' é explicitamente habilitada.

Recommendations Atualize para a versão 0.43.4. Como medida paliativa temporária, não utilize a flag '--persist-lint-results' ao realizar o lint ou build de APKs com conteúdos .PKGINFO não confiáveis. Execute o software como um usuário de baixos privilégios e restrinja as gravações a um diretório isolado para limitar o impacto.