CVE-2026-45230

Nome do Software Vulnerável e Versões Afetadas DumbAssets versões 1.0 through 1.0.11

Descrição Um problema de path traversal existe no endpoint 'POST /api/delete-file' através dos parâmetros de array filesToDelete. Isso permite que atacantes não autenticados ignorem a validação de limite de diretório usando sequências ../ para navegar fora do diretório pretendido da aplicação. Isso pode levar à exclusão de arquivos críticos, como server.js ou package.json, resultando em uma negação de serviço completa. Path traversal é uma técnica usada para acessar arquivos e diretórios que estão armazenados fora da pasta raiz da web.

Recomendações Para as versões 1.0 through 1.0.11, evite usar o parâmetro filesToDelete no endpoint 'POST /api/delete-file' até que uma correção seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.