CVE-2026-33747

BuildKit vulnerable to malicious frontend causing file escape outside of storage root

CVSS 8.4 HIGHEPSS 0.5%CWE-22

Em resumo

BuildKit permite que frontends maliciosos escritos por usuários contornem as restrições de armazenamento e salvem arquivos fora do diretório permitido. Isso é perigoso quando frontends não confiáveis são usados.

Detalhe técnico

Uma vulnerabilidade de travessia de diretório (CWE-22) no processamento de frontends do BuildKit permite que um atacante controlando uma imagem frontend customizada crie mensagens de API que escapem do diretório de estado do contexto de execução. O ataque requer que a vítima use um frontend não confiável via diretiva `#syntax` ou `--build-arg BUILDKIT_SYNTAX`; frontends padrão como `docker/dockerfile` não são afetados. A exploração bem-sucedida possibilita escrita arbitrária de arquivos fora da raiz de armazenamento, potencialmente levando a escalação de privilégios.

Resumo gerado e traduzido por IA a partir da descrição oficial.

BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. Prior to version 0.28.1, when using a custom BuildKit frontend, the frontend can craft an API message that causes files to be written outside of the BuildKit state directory for the execution context. The issue has been fixed in v0.28.1. The vulnerability requires using an untrusted BuildKit frontend set with `#syntax` or `--build-arg BUILDKIT_SYNTAX`. Using these options with a well-known frontend image like `docker/dockerfile` is not affected.

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

moby · buildkit

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/moby/buildkit/releases/tag/v0.28.1 https://github.com/moby/buildkit/security/advisories/GHSA-4c29-8rgm-jvjj