Katalog CVE

CVE-2026-55677

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Echo, framework webowy w Go, zawiera podatność polegającą na niezgodności w dekodowaniu ścieżek URL między routerem a handlerem plików statycznych. Router dopasowuje trasy na podstawie surowej, zakodowanej ścieżki (zachowując %2F jako takie), podczas gdy StaticDirectoryHandler dekoduje %2F na / przed rozwiązaniem ścieżek systemu plików. Umożliwia to atakującemu ominięcie kontroli dostępu na poziomie tras i odczytanie plików statycznych bez autoryzacji.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do plików statycznych, które powinny być chronione przez reguły routingu, co może prowadzić do wycieku poufnych danych.

Rekomendacja

Należy niezwłocznie zaktualizować framework Echo do wersji 4.15.3 lub 5.2.0, które zawierają poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Echo is a Go web framework. Prior to 4.15.3 and 5.2.0, Echo's router and static file handler disagree on URL path decoding. The router matches routes using the raw encoded path (preserving %2F as-is), while StaticDirectoryHandler unescapes %2F to / before resolving filesystem paths. This allows an attacker to bypass route-level access controls and read static files without authorization. This vulnerability is fixed in 4.15.3 and 5.2.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS