CVE-2026-31817

Nome do Software Vulnerável e Versões Afetadas Versões do OliveTin anteriores a 3000.11.2

Descrição O OliveTin fornece acesso a comandos de shell predefinidos por meio de uma interface web. Quando o recurso saveLogs está habilitado, o OliveTin persiste as entradas de log de execução no disco. O nome do arquivo para esses logs é construído utilizando o campo UniqueTrackingId da requisição da API StartAction. Este valor não é devidamente validado ou sanitizado, permitindo que um atacante utilize sequências de traversão de diretório, como ../../../, para gravar arquivos em locais arbitrários no sistema de arquivos. O endpoint da API StartAction aceita a variável UniqueTrackingId sem validação.

Recomendações Atualize para a versão 3000.11.2 ou posterior.