CVE-2026-45727

Nome do Software Vulnerável e Versões Afetadas CloakBrowser versões anteriores a 0.3.28

Descrição O multiplexador CDP cloakserve utiliza o parâmetro de consulta fingerprint fornecido pelo usuário diretamente como um componente de caminho do sistema de arquivos ao criar diretórios de perfil do Chrome. Um invasor não autenticado com acesso de rede à porta do cloakserve pode fornecer um valor de fingerprint manipulado contendo sequências de travessia de caminho (path traversal) para resolver o user data dir fora do data dir configurado. Quando o Chrome falha ao iniciar ou o processo é limpo, a função shutil.rmtree() exclui o caminho atravessado, resultando na exclusão arbitrária de diretórios. Por padrão, o cloakserve é vinculado ao 0.0.0.0, tornando-o exposto à rede.

Recomendações Atualize para a versão 0.3.28. Restrinja o acesso de rede à porta do cloakserve.