CVE-2026-46431

Nome do Software Vulnerável e Versões Afetadas Algernon versões anteriores a 1.17.7

Descrição O cabeçalho de resposta Access-Control-Allow-Origin do servidor de eventos SSE está configurado com o caractere curinga * de forma fixa, independentemente da Origin do chamador. Como o EventSource não realiza uma requisição de preflight e não envia cookies, essa configuração permite que qualquer página de terceiros visitada por um usuário abra uma conexão EventSource de origem cruzada para a porta SSE. Isso possibilita que um script de origem cruzada leia o fluxo de nomes de arquivos em tempo real via JavaScript. O problema está na função GenFileChangeEvents(), onde o caractere curinga é passado como a origem permitida, concedendo acesso de leitura em nível de script ao fluxo para qualquer origem.

Recomendações Atualize para a versão 1.17.7. Como medida paliativa temporária, restrinja o acesso à porta SSE para minimizar o risco de exploração de origem cruzada.