CVE-2026-25122

apko allows users to build and publish OCI container images built from apk packages. From version 0.14.8 to before 1.1.0, expandapk.Split drains the first gzip stream of an APK archive via io.Copy(io.Discard, gzi) without explicit bounds. With an attacker-controlled input stream, this can force large gzip inflation work and lead to resource exhaustion (availability impact). The Split function reads the first tar header, then drains the remainder of the gzip stream by reading from the gzip reader directly without any maximum uncompressed byte limit or inflate-ratio cap. A caller that parses attacker-controlled APK streams may be forced to spend excessive CPU time inflating gzip data, leading to timeouts or process slowdown. This issue has been patched in version 1.1.0.

CVSS v3 5.5 MEDIUM

5.5^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 3.6

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/chainguard-dev/apko/commit/2be3903fe194ad46351840f0569b35f5ac965f09	Patch
https://github.com/chainguard-dev/apko/security/advisories/GHSA-6p9p-q6wh-9j89	Third Party Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:chainguard:apko:*:*:*:*:*:go:*:*

History

20 Feb 2026, 21:31

Type	Values Removed	Values Added
CWE		CWE-770
CPE		cpe:2.3:a:chainguard:apko::::::go::*
References	~~() https://github.com/chainguard-dev/apko/commit/2be3903fe194ad46351840f0569b35f5ac965f09 -~~	() https://github.com/chainguard-dev/apko/commit/2be3903fe194ad46351840f0569b35f5ac965f09 - Patch
References	~~() https://github.com/chainguard-dev/apko/security/advisories/GHSA-6p9p-q6wh-9j89 -~~	() https://github.com/chainguard-dev/apko/security/advisories/GHSA-6p9p-q6wh-9j89 - Third Party Advisory
First Time		Chainguard apko Chainguard
Summary		(es) apko permite a los usuarios construir y publicar imágenes de contenedor OCI construidas a partir de paquetes apk. Desde la versión 0.14.8 hasta antes de la 1.1.0, expandapk.Split drena el primer flujo gzip de un archivo APK a través de io.Copy(io.Discard, gzi) sin límites explícitos. Con un flujo de entrada controlado por un atacante, esto puede forzar un gran trabajo de descompresión gzip y llevar al agotamiento de recursos (impacto en la disponibilidad). La función Split lee la primera cabecera tar, luego drena el resto del flujo gzip leyendo directamente del lector gzip sin ningún límite máximo de bytes descomprimidos o tope de relación de descompresión. Un llamador que analiza flujos APK controlados por un atacante puede verse forzado a gastar un tiempo excesivo de CPU descomprimiendo datos gzip, lo que lleva a tiempos de espera o ralentización del proceso. Este problema ha sido parcheado en la versión 1.1.0.

04 Feb 2026, 19:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-04 19:16

Updated : 2026-02-20 21:31

NVD link : CVE-2026-25122

Mitre link : CVE-2026-25122

CVE.ORG link : CVE-2026-25122

JSON object : View

Products Affected

chainguard

apko

CWE

CWE-400

Uncontrolled Resource Consumption

CWE-770

Allocation of Resources Without Limits or Throttling

5.5 /10