漏洞关键信息 漏洞概述 标题: potential host command execution via license-check YAML mode patch pipeline 发布者: antitree 发布时间: yesterday CVE ID: CVE-2026-25143 严重性: High (7.8/10) 影响范围 受影响的版本: v0.10.0 - v0.40.4 修复版本: 0.40.5 包: melange (Go) 描述 漏洞描述: 攻击者可以通过影响patch pipeline的输入,在构建主机上执行任意shell命令。pkg/build/pipelines/patch.yaml在没有适当引用或验证的情况下,将输入派生的值(如序列路径、补丁文件名和数值参数)嵌入shell脚本中,允许shell元字符破坏其预期上下文。 影响的内置patch pipeline: 可以通过melange build和melange license-check操作调用。 攻击者: 可以控制与补丁相关的输入(例如,通过拉取请求驱动的CI、构建即服务,或通过影响melange配置),可以注入shell元字符,如反引号、命令替换$(...)、分号、管道或重定向,以使用melange构建过程的特权执行任意命令。 修复情况 修复: 在bd132535中修复,已发布 致谢 感谢: Oleh Konko (@1seal) 发现并报告此问题 CVSS v3 基础度量值 攻击向量: Local 攻击复杂性: Low 所需权限: None 用户交互: Required 作用域: Unchanged 机密性: High 完整性: High 可用性: High CVSS: 3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 弱点 CWE-78