Vulnerabilidad en Melange (CVE-2025-54059)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/07/2025
Última modificación:
22/07/2025
Descripción
Melange permite a los usuarios crear paquetes APK mediante pipelines declarativos. A partir de la versión 0.23.0 y anteriores a la 0.29.5, los archivos SBOM generados por Melange en APK tenían permisos de sistema de archivos en modo 666. Esto podría permitir que un usuario sin privilegios altere los SBOM de APK en una imagen en ejecución, lo que podría confundir a los escáneres de seguridad. Un atacante también podría realizar un ataque de DoS en circunstancias especiales. La versión 0.29.5 corrige el problema.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/chainguard-dev/melange/commit/1b272db2a0bb3441553284cc56d87236b4b64c04
- https://github.com/chainguard-dev/melange/commit/e29494b4a40a91619ec1c87a09003c6d5164cea1
- https://github.com/chainguard-dev/melange/pull/1836
- https://github.com/chainguard-dev/melange/pull/2086
- https://github.com/chainguard-dev/melange/releases/tag/v0.23.0
- https://github.com/chainguard-dev/melange/releases/tag/v0.29.5
- https://github.com/chainguard-dev/melange/security/advisories/GHSA-5662-cv6m-63wh