Katalog CVE

CVE-2026-56138

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Framework AIL zawiera podatność na traversję ścieżki w punkcie końcowym /objects/item/diff. Umożliwia to uwierzytelnionemu użytkownikowi AIL stworzenie złośliwych identyfikatorów przedmiotów, które mogą prowadzić do nieautoryzowanego ujawnienia lokalnych plików.

Ocena ryzyka

Organizacja może być narażona na ujawnienie poufnych danych z lokalnych plików, które są dostępne dla procesu AIL, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację frameworka AIL do najnowszej wersji, aby skorzystać z poprawek wprowadzonych w celu walidacji identyfikatorów przedmiotów.

Oryginalny opis (angielski, źródło NVD)

AIL framework contains a path traversal vulnerability in the /objects/item/diff endpoint. The endpoint accepts item identifiers through the s1 and s2 query parameters and, prior to the fix, attempted to retrieve and compare item contents without first verifying that both referenced items existed as valid AIL objects. An authenticated AIL user could craft malicious item identifiers containing path traversal sequences to cause the application to read gzip-compressed files accessible to the AIL process. This could result in unauthorized disclosure of local file contents, limited to files readable by the application and compatible with the expected gzip-compressed item format. The issue was fixed by validating that both requested items exist before their contents are accessed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS