CVE-2026-29049
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Melange w wersji 0.40.5 i wcześniejszych pobiera URI z konfiguracji budowania za pomocą io.Copy bez ograniczenia rozmiaru lub limitu czasu klienta HTTP. Atakujący może kontrolować URI w konfiguracji melange, co prowadzi do nieograniczonego zapisu na dysku i wyczerpania miejsca na serwerze budowania.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu wyczerpanie zasobów (disk exhaustion) na serwerze CI/CD, co może zakłócić procesy budowania i spowodować awarię infrastruktury.
Rekomendacja
Należy natychmiast zaktualizować melange do wersji 0.43.4 lub nowszej, która zawiera poprawkę ograniczającą rozmiar pobieranych danych i ustawiającą limit czasu połączenia HTTP.
Oryginalny opis (angielski, źródło NVD)
melange allows users to build apk packages using declarative pipelines. In version 0.40.5 and prior, melange update-cache downloads URIs from build configs via io.Copy without any size limit or HTTP client timeout (pkg/renovate/cache/cache.go). An attacker-controlled URI in a melange config can cause unbounded disk writes, exhausting disk on the build runne. Version 0.43.4 contains a patch.

