CVE-2026-13503
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność na path traversal w funkcji getImportedVocabFile w pliku TokenVocabParser.java. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do plików poza zamierzonym katalogiem, co może prowadzić do wycieku poufnych danych lub eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę ANTLR4 do wersji 4.13.3 lub nowszej, jeśli dostępna, lub zastosować tymczasowe obejście poprzez walidację ścieżek w tokenVocab.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in antlr ANTLR4 up to 4.13.2. Affected by this issue is the function getImportedVocabFile of the file tool/src/org/antlr/v4/parse/TokenVocabParser.java of the component tokenVocab Grammar Option Handler. The manipulation results in path traversal. The attack can be executed remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

