CVE-2026-46703

Nome do Software Vulnerável e Versões Afetadas Boxlite versões anteriores a 0.9.0

Descrição O Boxlite é um serviço de sandbox que permite aos usuários criar máquinas virtuais leves e executar containers OCI. O software não valida adequadamente os alvos de links simbólicos (symlinks) ao extrair tarballs de camadas de imagens OCI. Especificamente, a função extract layer tarball streaming() passa dados para apply oci layer(), que cria symlinks via create symlink() sem verificar se o caminho do alvo permanece dentro da raiz de extração. Além disso, a função ensure parent dirs() preserva explicitamente symlinks que apontam para diretórios, e a create regular file() utiliza OpenOptions::open(), que segue esses symlinks por padrão.

Um invasor pode criar uma imagem OCI maliciosa contendo um symlink que aponta para um caminho absoluto no host (por exemplo, escape apontando para /tmp). Quando um usuário carrega essa imagem, entradas de arquivo subsequentes que resolvem através desse symlink permitem que o invasor escreva conteúdo arbitrário em qualquer caminho no sistema de arquivos do host. Como o serviço geralmente é executado com privilégios de root no Linux, isso pode levar à execução remota de código, por exemplo, escrevendo uma chave pública no arquivo authorized keys do host.

Recomendações Atualize para a versão 0.9.0, que implementa um manipulador SafeRoot usando openat2(RESOLVE IN ROOT) no Linux para garantir que nenhuma entrada de tar possa ser resolvida fora da raiz de extração.