发布日期：2026-02-04
更新日期：2026-04-14

受影响系统：

apko apko >= 0.14.8 < 1.1.1

描述：

---

CVE(CAN) ID: CVE-2026-25121

apko是apko开源的一个基于apk的OCI镜像构建器。
apko 0.14.8版本至1.1.1之前版本存在路径遍历漏洞，该漏洞源于dirFS 文件系统抽象在处理目录和符号链接操作时，未对通过filepath.Join()生成的路径进行验证，确保其保持在预期的安装根目录内，攻击者可利用该漏洞提供恶意的APK包在预期安装根目录之外创建目录或符号链接。

<**>

建议：

---

厂商补丁：

apko
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/chainguard-dev/apko/commit/d8b7887a968a527791b3c591ae83928cb49a9f14

浏览次数：17
严重程度：0（网友投票）