CVE-2026-12568
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Moduł postman_download wykorzystuje pole nazwy przestrzeni roboczej z API Postman do konstruowania lokalnej ścieżki katalogu bez sanitizacji. Złośliwa przestrzeń robocza z nazwą zawierającą znaki przechodzenia przez ścieżkę może umożliwić atakującemu zapisanie dowolnych plików w systemie użytkownika.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zapisania złośliwych plików w systemie, co może prowadzić do dalszych ataków lub kompromitacji danych.
Rekomendacja
Zaleca się wprowadzenie sanitizacji nazw przestrzeni roboczej przed ich użyciem do konstruowania ścieżek katalogów oraz monitorowanie systemu pod kątem nieautoryzowanych plików.
Oryginalny opis (angielski, źródło NVD)
The postman_download module uses the workspace name field from the Postman API to construct the local directory path without sanitization. If a malicious workspace has a name containing path traversal characters, pathlib resolves the path outside the intended output directory, allowing an attacker to write arbitrary files to the user's system.

