Vulnerabilidad en melange de Chainguard-dev (CVE-2026-25143)

melange permite a los usuarios construir paquetes apk usando pipelines declarativos. Desde la versión 0.10.0 hasta antes de la 0.40.3, un atacante que pueda influir en las entradas del pipeline de parche podría ejecutar comandos de shell arbitrarios en el host de compilación. El pipeline de parche en pkg/build/pipelines/patch.yaml incrusta valores derivados de la entrada (rutas de series, nombres de archivo de parche y parámetros numéricos) en scripts de shell sin la debida entrecomillado o validación, permitiendo que los metacaracteres de shell salgan de su contexto previsto. La vulnerabilidad afecta al pipeline de parche incorporado que puede ser invocado a través de las operaciones melange build y melange license-check. Un atacante que pueda controlar las entradas relacionadas con el parche (por ejemplo, a través de CI impulsado por solicitudes de extracción, build-as-a-service, o influyendo en las configuraciones de melange) puede inyectar metacaracteres de shell como backticks, sustituciones de comandos $(…), puntos y coma, pipes o redirecciones para ejecutar comandos arbitrarios con los privilegios del proceso de compilación de melange. Este problema ha sido parcheado en la versión 0.40.3.