CVE-2026-45728

Nome do Software Vulnerável e Versões Afetadas Algernon versões anteriores a 1.17.7

Descrição Quando o Algernon é iniciado com um caminho de arquivo único em vez de um diretório, o singleFileMode é ativado, o que habilita forçadamente o debugMode. Essa configuração ativa o renderizador PrettyError, que expõe o caminho absoluto no disco e o conteúdo completo em bytes do arquivo que causou um erro de Lua ou de template, juntamente com o texto da exceção ou do erro de análise. Essas informações são servidas com um status HTTP 200 OK para qualquer solicitante.

Um invasor pode disparar essa exposição provocando um erro de tempo de execução por meio de entradas comuns, como enviar um método HTTP não suportado para um endpoint, enviar tipos de parâmetros inválidos que causem uma falha no tonumber() ou enviar solicitações sem os cabeçalhos obrigatórios. Isso pode levar à exposição do código-fonte do lado do servidor, incluindo strings de conexão de banco de dados, chaves de API e segredos. Notavelmente, o uso da flag --prod não impede esse comportamento para extensões que não sejam .lua (como .po2, .amber, .html, .tmpl, .tl ou .pongo2), pois a sobreposição forçada do debugMode tem precedência.

Recomendações Atualize para a versão 1.17.7. Como solução temporária, evite iniciar o servidor com um caminho de arquivo único e, em vez disso, sirva o conteúdo a partir de um diretório. Restrinja o uso do modo de arquivo único para qualquer ambiente exposto a tráfego de rede não confiável.