CVE-2026-46703
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 — wyżej niż 41% wszystkich znanych CVE
Streszczenie
Boxlite to usługa sandbox, która pozwala użytkownikom na tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach przed 0.9.0, Boxlite nie uwzględnia możliwości, że wpisy tar w obrazach OCI mogą być dowiązaniami symbolicznymi wskazującymi na ścieżki bezwzględne, co umożliwia atakującemu wykonanie złośliwego kodu na hoście.
Ocena ryzyka
Atakujący może stworzyć złośliwy obraz OCI i wprowadzić go na platformy hostingowe, co może prowadzić do nieautoryzowanego zapisu danych na hoście oraz potencjalnego zdalnego wykonania kodu.
Rekomendacja
Zaleca się aktualizację Boxlite do wersji 0.9.0 lub nowszej, aby zabezpieczyć się przed tymi podatnościami.
Oryginalny opis (angielski, źródło NVD)
Boxlite is a sandbox service that allows users to create lightweight virtual machines (Boxes) and launch OCI containers within them to run untrusted code. Prior to version 0.9.0, Boxlite allows users to specify the OCI image used by containers in the sandbox. However, when processing tar entries in OCI images, Boxlite does not account for the possibility that entries may be symlinks pointing to absolute paths. An attacker can craft a malicious OCI image and distribute it on image hosting platforms such as DockerHub, tricking users into using it. Once a user loads the malicious image, the attacker can write arbitrary content to any path on the host, which can further lead to remote code execution on the host. This issue has been patched in version 0.9.0.

