CVE-2026-27598

Nome do Software Vulnerável e Versões Afetadas Versões do Dagu até e incluindo a 1.16.7

Descrição O Dagu, um motor de fluxo de trabalho, apresenta uma falha no endpoint da API CreateNewDAG (POST /api/v1/dags). O endpoint não valida corretamente o nome do DAG antes de armazená-lo, permitindo que um usuário autenticado com permissões de escrita de DAGs grave arquivos YAML arbitrários em praticamente qualquer local do sistema de arquivos, limitado pelas permissões do processo. Isso ocorre devido à falta de validação no manipulador CreateNewDAG e ao comportamento da função generateFilePath, que resolve incorretamente caminhos contendo separadores. A exploração envolve criar um nome malicioso para o DAG, como ../../tmp/pwned, para gravar arquivos fora do diretório pretendido para DAGs. Como o Dagu executa arquivos DAG como comandos de shell, isso pode levar à execução remota de código ao sobrescrever arquivos de configuração ou gravar DAGs maliciosos em outras instâncias. O código vulnerável está localizado em internal/service/frontend/api/v1/dags.go (linhas 120-170) e internal/persis/filedag/store.go (linhas 213 e 493-498). Uma prova de conceito (PoC) demonstra a gravação de um arquivo em /tmp/path-traversal-proof.yaml por meio de uma requisição elaborada ao endpoint da API CreateNewDAG.

Recomendações As versões do Dagu anteriores à 1.16.7 devem ser atualizadas.