CVE-2026-42574

Nome do Software Vulnerável e Versões Afetadas apko versões 0.14.8 até 1.2.4

Descrição Um arquivo .apk manipulado pode instalar uma entrada de tar TypeSymlink cujo destino aponta para fora da raiz de compilação. Entradas subsequentes de criação de diretório ou gravação de arquivo no mesmo arquivo ou em arquivos posteriores podem atravessar esse link simbólico para acessar caminhos do host que o usuário de compilação tem permissão para gravar. O problema decorre do auxiliar sanitizePath em pkg/apk/fs/rwosfs.go, que rejeitava apenas a travessia léxica .. e não resolvia ou recusava links simbólicos. Isso afeta métodos DirFS baseados em disco que passam caminhos fornecidos pelo chamador para chamadas de biblioteca padrão que seguem links simbólicos, incluindo ReadFile(), WriteFile(), Chmod(), Chown(), Chtimes(), MkdirAll(), Mkdir() e Mknod(). A primitiva primária alcançável durante a extração do tar é a cadeia MkdirAll() / Mkdir() / WriteFile() via apko build-cpio e consumidores baseados em disco, como o melange.

Recomendações Atualize para a versão 1.2.5.