Er is een beveiligingslek ontdekt in melange, CVE-2025-54059, dat kritieke risico’s met zich meebrengt voor de integriteit van SBOM-bestanden in apk-pakketten. De kwetsbaarheid, die bestandsmachtigingen mode 666 mogelijk maakt, kan ervoor zorgen dat onbevoegde gebruikers deze bestanden aanpassen, waardoor beveiligingsscanners in verwarring worden gebracht en er mogelijk DoS-aanvallen plaatsvinden.
Overzicht
De kwetsbaarheid is aanwezig in melange-versies vanaf 0.23.0 tot en met 0.29.4. Vanaf 0.29.5 is het probleem opgelost. Gebruikers van deze tool zijn aangemoedigd om de getroffen versies onmiddellijk te updaten of te vervangen door de nieuwste versie om potentiële risico’s te mitigeren.
Aanbevelingen
- Update melange naar versie 0.29.5 of hoger. Dit kan worden gedaan door de nieuwste release te downloaden van de officiële GitHub-pagina.
- Controleer image-bestanden voor mogelijke ongeautoriseerde wijzigingen.
Bronnen
- Security Advisory van GitHub
- Discussie en oplossing
- Directe download v0.23.0
- Directe download v0.29.5
Vraag en Antwoord
Wat is CVE-2025-54059?
CVE-2025-54059 verwijst naar een specifieke kwetsbaarheid in melange, waarbij SBOM-bestanden in apks wereldwijde schrijfpermissies hadden, wat een beveiligingsrisico vormt.
Welke systemen zijn kwetsbaar voor CVE-2025-54059?
Alle systemen die melange gebruiken in versies >= 0.23.0 en < 0.29.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het probleem is opgelost in versie 0.29.5. Update onmiddellijk om risico’s te verkleinen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijke wijzigingen aanbrengen in SBOM-bestanden en beveiligingsrapportages vertekenen, wat leidt tot onjuiste kwetsbaarheidsbeoordelingen en zelfs dienstweigeringen (DoS).
