CVE-2026-27897
KrytyczneStreszczenie
W aplikacji Vociferous przed wersją 4.4.2 występuje podatność w pliku src/api/system.py w trasie export_file. Aplikacja akceptuje ładunek JSON zawierający nazwę pliku i treść, jednak nie weryfikuje poprawności nazwy pliku przed przetworzeniem przez logikę systemu plików.
Ocena ryzyka
Z powodu braku uwierzytelnienia API oraz zbyt luźnej konfiguracji CORS, zewnętrzny atakujący może ominąć interfejs użytkownika i wykorzystać sekwencje przejścia katalogów, co pozwala na zapis dowolnych danych w lokalizacjach dostępnych dla bieżącego użytkownika.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 4.4.2, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji nazw plików w API.
Oryginalny opis (angielski, źródło NVD)
Vociferous provides cross-platform, offline speech-to-text with local AI refinement. Prior to 4.4.2, the vulnerability exists in src/api/system.py within the export_file route. The application accepts a JSON payload containing a filename and content. While the developer intended for a native UI dialog to handle the file path, the API does not validate the filename string before it is processed by the backends filesystem logic. Because the API is unauthenticated and the CORS configuration in app.py is overly permissive (allow_origins=["*"] or allowing localhost), an external attacker can bypass the UI entirely. By using directory traversal sequences (../), an attacker can force the app to write arbitrary data to any location accessible by the current user's permissions. This vulnerability is fixed in 4.4.2.

