CVE-2026-31886
CriticalSummary
Dagu to silnik workflow z wbudowanym interfejsem użytkownika w sieci. W wersjach przed 2.2.4 pole żądania dagRunId akceptowane przez punkty końcowe wykonania DAG inline nie jest walidowane, co pozwala na wykorzystanie segmentów .. do przekierowania ścieżki katalogu tymczasowego poza zamierzony katalog.
Risk Assessment
W przypadku ustawienia dagRunId na '..', może dojść do usunięcia wszystkich plików w katalogu /tmp, co zakłóca działanie wszystkich równoległych uruchomień dagu. W przypadku uruchomień jako root lub w kontenerach Docker, może to prowadzić do ogólnosystemowego odmowy usługi.
Recommendation
Zaleca się aktualizację do wersji 2.2.4 lub nowszej, aby zapewnić odpowiednią walidację pola dagRunId i zapobiec wykorzystaniu tej podatności.
Original NVD description (English source)
Dagu is a workflow engine with a built-in Web user interface. Prior to 2.2.4, the dagRunId request field accepted by the inline DAG execution endpoints is passed directly into filepath.Join to construct a temporary directory path without any format validation. Go's filepath.Join resolves .. segments lexically, so a caller can supply a value such as ".." to redirect the computed directory outside the intended /tmp/<name>/<id> path. A deferred cleanup function that calls os.RemoveAll on that directory then runs unconditionally when the HTTP handler returns, deleting whatever directory the traversal resolved to. With dagRunId set to "..", the resolved directory is the system temporary directory (/tmp on Linux). On non-root deployments, os.RemoveAll("/tmp") removes all files in /tmp owned by the dagu process user, disrupting every concurrent dagu run that has live temp files. On root or Docker deployments, the call removes the entire contents of /tmp, causing a system-wide denial of servic

