PT-2025-30442 · Dagster · Dagster

Geckosecurity

·

Publicado

2025-07-22

·

Atualizado

2025-07-22

·

CVE-2025-51481

CVSS v3.1

6.6

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas Dagster versão 1.10.14
Descrição Existe uma vulnerabilidade de inclusão local de arquivos na função dagster. grpc.impl.get notebook data. Atacantes com acesso ao servidor gRPC podem ler arquivos arbitrários ao fornecer sequências de travessia de caminho no campo notebook path das requisições ExternalNotebookData, contornando a verificação baseada em extensão prevista.
Recomendações Atualize para uma versão mais recente que contenha uma correção para este problema. Como solução temporária, restrinja o acesso ao servidor gRPC para minimizar o risco de exploração.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

CVE-2025-51481
GHSA-H7X8-JV97-FVVM
PYSEC-2025-102

Produtos afetados

Dagster