Vulnerabilidad en apko de Chainguard-dev (CVE-2026-25121)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)

Fecha de publicación:

04/02/2026

Última modificación:

20/02/2026

Descripción

apko permite a los usuarios construir y publicar imágenes de contenedor OCI construidas a partir de paquetes apk. Desde la versión 0.14.8 hasta antes de la 1.1.1, se descubrió una vulnerabilidad de salto de ruta en la abstracción del sistema de archivos dirFS de apko. Un atacante que pueda suministrar un paquete APK malicioso (por ejemplo, a través de un repositorio comprometido o con typosquatting) podría crear directorios o enlaces simbólicos fuera de la raíz de instalación prevista. Los métodos MkdirAll, Mkdir y Symlink en pkg/apk/fs/rwosfs.go usan filepath.Join() sin validar que la ruta resultante permanezca dentro del directorio base. Este problema ha sido parcheado en la versión 1.1.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno