CVE-2026-54448
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Trivy przed wersją 0.71.0 podczas skanowania archiwów Helm chart (.tgz) używa niestandardowego rozpakowywacza tar, który odczytuje każdy wpis za pomocą io.ReadAll(tr) bez ograniczenia rozmiaru. Atakujący może umieścić złośliwy plik .tgz w skanowanej ścieżce, który po dekompresji zajmuje gigabajty, powodując zabicie procesu Trivy przez mechanizm OOM killera systemu operacyjnego.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu odmowa usługi (DoS) na skaner Trivy, co może uniemożliwić skanowanie obrazów kontenerów i wykrywanie podatności w środowisku CI/CD lub produkcyjnym.
Rekomendacja
Należy niezwłocznie zaktualizować Trivy do wersji 0.71.0 lub nowszej, która zawiera poprawkę ograniczającą rozmiar odczytywanych danych podczas rozpakowywania archiwów tar.
Oryginalny opis (angielski, źródło NVD)
Trivy is a security scanner. Prior to 0.71.0, when Trivy scans a Helm chart archive (.tgz), its custom tar unpacker reads each entry with io.ReadAll(tr) and no size limit. An attacker who can place a malicious .tgz file in the scanned path can craft a small compressed archive that decompresses to gigabytes, causing the Trivy process to be killed by the OS OOM killer. This vulnerability is fixed in 0.71.0.

