PT-2026-52645 · Hauler · Hauler

Publicado

2026-06-25

·

Atualizado

2026-06-30

·

CVE-2026-48702

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas hauler versões anteriores a 2.0.1-1.1
Descrição A função Package.Unmarshal() em pkg/types/alpine/apk.go descompacta membros gzip de assinatura e controle de um arquivo APK em buffers de memória sem limitar o tamanho total descompactado. Isso permite que uma bomba de descompactação—um arquivo compactado pequeno que se expande para um tamanho massivo—consuma memória heap ilimitada, resultando em um erro fatal de falta de memória (out-of-memory) do runtime Go ou um OOM-kill do sistema operacional. Este problema é acessível através dos endpoints não autenticados 'POST /api/v1/log/entries' e 'POST /api/v1/log/entries/retrieve', que acionam a descompactação ilimitada por meio das funções V001Entry.Canonicalize() e fetchExternalEntities().
Recomendações Atualize para a versão 2.0.1-1.1.

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48702
GHSA-47Q9-M4WW-924M
OPENSUSE-SU-2026:11154-1

Produtos afetados

Hauler