Vulnerabilidad en syft de anchore (CVE-2026-33481)

Syft es una herramienta CLI y una biblioteca Go para generar una Lista de Materiales de Software (SBOM) a partir de imágenes de contenedor y sistemas de archivos. Las versiones de Syft anteriores a la v1.42.3 no limpiarían correctamente el almacenamiento temporal si este se agotaba durante un escaneo. Al escanear archivos, Syft desempaquetará esos archivos en el almacenamiento temporal y luego inspeccionará el contenido desempaquetado. Bajo operación normal, Syft eliminará los datos temporales que escribe después de completar un escaneo. Esta vulnerabilidad afectaría a los usuarios de Syft que estaban escaneando contenido que podría hacer que Syft llenara el almacenamiento temporal, lo que luego haría que Syft generara un error y saliera. Cuando se activa el error, Syft saldría sin eliminar correctamente los archivos temporales en uso. En nuestras pruebas, esto se reprodujo más fácilmente escaneando artefactos muy grandes o artefactos altamente comprimidos como una zipbomb. Debido a que Syft no limpiaría sus archivos temporales, el resultado sería el llenado del almacenamiento de archivos temporales, impidiendo futuras ejecuciones de Syft u otras utilidades del sistema que dependen de que el almacenamiento temporal esté disponible. El parche ha sido lanzado en la v1.42.3. Syft ahora limpia los archivos temporales cuando se encuentra una condición de error. No hay soluciones alternativas para esta vulnerabilidad en Syft. Los usuarios que encuentren su almacenamiento temporal agotado pueden eliminar manualmente los archivos temporales.