CVE-2026-47213

Nome do Software Vulnerável e Versões Afetadas Boxlite versões 0.8.2 e anteriores

Description O Boxlite é um serviço de sandbox que permite a criação de máquinas virtuais leves para executar código não confiável dentro de containers OCI. O serviço permite que os usuários configurem um tempo limite (timeout) para processos executados dentro dessas máquinas virtuais. Quando o tempo limite é atingido, o sistema deve encerrar o processo. No entanto, a implementação utiliza o sinal SIGALRM em vez do sinal SIGKILL, que não pode ser interceptado. Como o SIGALRM pode ser capturado ou ignorado pelo processo, códigos maliciosos podem burlar a restrição de tempo limite e continuar a execução. Isso pode levar ao esgotamento de recursos dentro da máquina virtual e afetar a disponibilidade geral do serviço. O problema está localizado na função start timeout watcher() no arquivo guest/src/service/exec/timeout.rs, onde a variável timeout ms dispara o envio do sinal incorreto.

Recommendations Atualize o Boxlite para uma versão que incorpore o commit 28159fc para garantir que o sinal SIGKILL seja utilizado para a terminação do processo após o tempo limite.