CVE-2026-42601

Nome do Software Vulnerável e Versões Afetadas ArchiveBox (versões afetadas não especificadas)

Descrição O endpoint '/add/' (AddView em core/views.py) permite a injeção de configurações arbitrárias em tarefas de rastreamento (crawl jobs), pois o campo JSON de configuração é mesclado sem validação. Essa configuração é posteriormente exportada como variáveis de ambiente quando os plugins de arquivamento são executados, permitindo a injeção de argumentos de ferramentas para alcançar a execução remota de código. Quando a variável PUBLIC ADD VIEW está definida como True, isso pode ser explorado sem autenticação, já que o endpoint também é @csrf exempt (isento de proteção contra Cross-Site Request Forgery, um mecanismo que impede que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia). Especificamente, o parâmetro config pode ser usado para sobrescrever chaves como YTDLP ARGS EXTRA ou GALLERYDL ARGS EXTRA para executar comandos arbitrários via a flag --exec das respectivas ferramentas.

Recomendações Como medida paliativa temporária, defina PUBLIC ADD VIEW como False para impedir o acesso não autenticado ao endpoint '/add/'. Restrinja o uso do parâmetro config no endpoint '/add/' até que uma correção esteja disponível.