Уязвимость Go связана с тем, что когда в системе включён режим FIPS, среда выполнения контейнеров может некорректно обрабатывать определённые пути к файлам из-за неправильной проверки в библиотеке containers/common Go. Эксплуатация уязвимости может позволить нарушителю использовать символические ссылки и обманывать систему, монтируя конфиденциальные каталоги хоста внутри контейнера. Это также может позволить нарушителю получить доступ к критически важным файлам хоста, обходя предполагаемую изоляцию между контейнерами и хост-системой.

Уязвимость Buildah вызвана неправильной проверкой ввода в параметре bind-propagation инструкции Dockerfile RUN --mount. Эксплуатация уязвимости может позволить локальному аутентифицированному нарушителю монтировать конфиденциальные каталоги с хоста в контейнер и изменять содержимое смонтированных файлов, отправляя специально созданный запрос.

Уязвимость Buildah связана с отсутствием должной проверки того, что указанные пользователем пути для кэша находятся в каталоге кэша Buildah, что позволяет инструкции "RUN" в файле контейнера монтировать произвольный каталог с хоста (чтение/запись) в контейнер, если к этим файлам может получить доступ пользователь, запускающий Buildah. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызывать отказ в обслуживании.