PT-2026-41390 · Git+3 · Pipecat+1

Publicado

2026-05-15

·

Atualizado

2026-06-12

·

CVE-2026-44716

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Pipecat versões 0.0.90 até 1.1.x
Descrição Um problema de travessia de caminho (path traversal) existe no executor de desenvolvimento no arquivo src/pipecat/runner/run.py. Quando o executor é iniciado com a flag --folder, ele habilita um endpoint de download 'GET /files/{filename:path}'. O parâmetro de caminho filename é concatenado diretamente à pasta base sem uma verificação de contenção. Embora sequências literais de ../ sejam normalizadas pelo Starlette, o uso de barras codificadas como %2F ignora esse mecanismo, pois o parâmetro é decodificado via URL após o roteamento. Isso permite que um invasor não autenticado com acesso à rede leia qualquer arquivo que o processo tenha permissão para acessar, como arquivos do sistema, credenciais e chaves privadas SSH, utilizando sequências como ..%2F..%2Fetc%2Fpasswd.
Recomendações Atualize para a versão 1.2.0. Como medida paliativa temporária, evite usar a flag --folder ao iniciar o executor para desativar o endpoint de download vulnerável.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44716
GHSA-3363-2PH6-35WH

Produtos afetados

Pipecat
Pipecat-Ai