Lowyottahmd

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dagu até e incluindo a 1.16.7 **Descrição** O Dagu, um motor de fluxo de trabalho, apresenta uma falha no endpoint da API `CreateNewDAG` (`POST /api/v1/dags`). O endpoint não valida corretamente o nome do DAG antes de armazená-lo, permitindo que um usuário autenticado com permissões de escrita de DAGs grave arquivos YAML arbitrários em praticamente qualquer local do sistema de arquivos, limitado pelas permissões do processo. Isso ocorre devido à falta de validação no manipulador `CreateNewDAG` e ao comportamento da função `generateFilePath`, que resolve incorretamente caminhos contendo separadores. A exploração envolve criar um nome malicioso para o DAG, como `../../tmp/pwned`, para gravar arquivos fora do diretório pretendido para DAGs. Como o Dagu executa arquivos DAG como comandos de shell, isso pode levar à execução remota de código ao sobrescrever arquivos de configuração ou gravar DAGs maliciosos em outras instâncias. O código vulnerável está localizado em `internal/service/frontend/api/v1/dags.go` (linhas 120-170) e `internal/persis/filedag/store.go` (linhas 213 e 493-498). Uma prova de conceito (PoC) demonstra a gravação de um arquivo em `/tmp/path-traversal-proof.yaml` por meio de uma requisição elaborada ao endpoint da API `CreateNewDAG`. **Recomendações** As versões do Dagu anteriores à 1.16.7 devem ser atualizadas.