CVE-2026-42575

Nome do Software Vulnerável e Versões Afetadas apko (versões afetadas não especificadas)

Descrição o apko verifica a assinatura no 'APKINDEX.tar.gz', mas não compara os pacotes '.apk' baixados individualmente com o checksum registrado no índice assinado. Embora o checksum seja analisado via ChecksumString() e o hash de controle do pacote baixado seja computado, esses valores não são comparados na função getPackageImpl(). Isso permite que pacotes incompatíveis sejam aceitos silenciosamente. Um invasor capaz de substituir as respostas de download, como por meio de um espelho comprometido, repositório HTTP ou cache de CDN envenenado, pode instalar pacotes arbitrários em imagens construídas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.