BuildKit possible race condition with accessing subpaths from cache mounts

BuildKit puede permitir que archivos del sistema host sean accesibles por un contenedor de build cuando dos pasos maliciosos se ejecutan en paralelo compartiendo el mismo cache con subpaths, debido a una race condition. Esto es grave porque expone archivos sensibles del host a contenedores no confiables.

Existe una race condition en el manejo de cache mounts de BuildKit cuando múltiples pasos de build se ejecutan concurrentemente con subpaths superpuestos en cache compartido. Un atacante controlando dos pasos en paralelo puede explotar brechas de timing en el acceso al cache para leer archivos arbitrarios del filesystem del host que deberían estar aislados. La vulnerabilidad requiere configuración de cache compartido con subpaths y ejecución paralela; fue corregida en v0.12.5.