Katalog CVE

CVE-2026-54319

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W wersjach przed 0.186 Daytona, referencja do woluminu sandbox (volumeId) była przekazywana do runnera, co mogło prowadzić do nieautoryzowanego dostępu do ścieżek poza zamierzonym katalogiem bazowym. Wykorzystanie sekwencji przechodzenia przez ścieżki mogło umożliwić zbudowanie ścieżki montowania hosta bez odpowiednich ograniczeń.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do danych lub zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa. Potencjalne wykorzystanie tej podatności może skutkować utratą poufności danych.

Rekomendacja

Zaleca się aktualizację do wersji 0.186 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących konfiguracji w celu zidentyfikowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

Daytona is a secure and elastic infrastructure runtime for AI-generated code execution and agent workflows. Prior to 0.186, a sandbox volume reference (volumeId, which may also be a volume name) was forwarded to the runner and used to build the host bind-mount source path without confinement. A reference containing path-traversal sequences could in principle resolve the mount source outside the intended per-volume base directory. This vulnerability is fixed in 0.186.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS