CVE-2026-41491

Nome do Software Vulnerável e Versões Afetadas Dapr versões 1.3.0 até 1.15.13 Dapr versões 1.16.0-rc.1 até 1.16.13 Dapr versões 1.17.0-rc.1 até 1.17.4

Description Existe um problema na forma como as políticas de controle de acesso para a invocação de serviços são processadas. A Lista de Controle de Acesso (ACL) e a camada de despacho normalizavam os caminhos dos métodos de forma independente, permitindo uma divergência onde a ACL avalia um caminho enquanto a aplicação alvo recebe outro. Essa discrepância permite a evasão de políticas de controle de acesso usando caracteres de URL reservados e sequências de path traversal nos caminhos dos métodos. Por exemplo, um invasor poderia usar path traversal codificado (ex: admin%2F..%2Fpublic) para acessar um caminho permitido quando o método começava com um prefixo negado, ou usar caracteres de fragmento (%23) ou consulta (%3F) codificados para manipular a avaliação do caminho. A API gRPC é um vetor mais significativo, pois transmite strings de método brutas, entregando caracteres como #, ? e ../ literalmente, sem sanitização do lado do cliente.

Recommendations Atualizar para a versão 1.15.14 para versões no intervalo de 1.3.0 a 1.15.13. Atualizar para a versão 1.16.14 para versões no intervalo de 1.16.0-rc.1 a 1.16.13. Atualizar para a versão 1.17.5 para versões no intervalo de 1.17.0-rc.1 a 1.17.4.