Katalog CVE

CVE-2026-29049

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Melange w wersji 0.40.5 i wcześniejszych pobiera URI z konfiguracji budowania za pomocą io.Copy bez ograniczenia rozmiaru lub limitu czasu klienta HTTP. Atakujący może kontrolować URI w konfiguracji melange, co prowadzi do nieograniczonego zapisu na dysku i wyczerpania miejsca na serwerze budowania.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku typu wyczerpanie zasobów (disk exhaustion) na serwerze CI/CD, co może zakłócić procesy budowania i spowodować awarię infrastruktury.

Rekomendacja

Należy natychmiast zaktualizować melange do wersji 0.43.4 lub nowszej, która zawiera poprawkę ograniczającą rozmiar pobieranych danych i ustawiającą limit czasu połączenia HTTP.

Oryginalny opis (angielski, źródło NVD)

melange allows users to build apk packages using declarative pipelines. In version 0.40.5 and prior, melange update-cache downloads URIs from build configs via io.Copy without any size limit or HTTP client timeout (pkg/renovate/cache/cache.go). An attacker-controlled URI in a melange config can cause unbounded disk writes, exhausting disk on the build runne. Version 0.43.4 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS