CVE-2026-46430

Nome do Software Vulnerável e Versões Afetadas Algernon versões anteriores a 1.17.7

Descrição No Linux e macOS, o servidor de eventos SSE vincula-se ao endereço 0.0.0.0:5553 por padrão, tornando-o acessível a qualquer peer na mesma rede local (LAN). Isso ocorre porque o padrão de host dependente da plataforma em engine/flags.go define a variável host como uma string vazia para sistemas não-Windows, o que a função utils.JoinHostPort() resolve para escutar em todas as interfaces de rede disponíveis. Em contraste, usuários de Windows são restringidos ao endereço de loopback. Isso permite que um peer de rede não autorizado se conecte ao servidor e leia o fluxo de alterações de arquivos, levando à divulgação de nomes de arquivos e horários de edição.

Recomendações Atualize para a versão 1.17.7.