PT-2026-21834 · Rollup · Rollup
Viralvaghela
·
Publicado
2026-02-23
·
Atualizado
2026-06-11
·
CVE-2026-27606
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Rollup anteriores a 2.80.0
Versões do Rollup anteriores a 3.30.0
Versões do Rollup anteriores a 4.59.0
Descrição
O Rollup, um empacotador de módulos JavaScript, contém uma falha devido à sanitização insegura de nomes de arquivo em seu mecanismo principal. Isso permite que um atacante manipule os nomes dos arquivos de saída usando sequências de traversal de diretório como
../ para sobrescrever arquivos no sistema de arquivos do host onde o processo de build possui acesso de escrita. Isso pode levar à Execução Remota de Código (RCE) persistente através da sobrescrita de arquivos críticos do sistema ou de configuração do usuário. O problema está presente nas versões 4.x e anteriores.Recomendações
Atualize para a versão 2.80.0 ou posterior do Rollup.
Atualize para a versão 3.30.0 ou posterior do Rollup.
Atualize para a versão 4.59.0 ou posterior do Rollup.
Exploit
Correção
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rollup