CVE-2026-32847

Nome do Software Vulnerável e Versões Afetadas DeepCode versões anteriores ao commit c991dc2

Descrição Um problema de path traversal existe na rota catch-all do SPA em new ui/backend/main.py. Atacantes não autenticados podem ler arquivos arbitrários ao fornecer segmentos de caminho codificados em percentual para o endpoint 'GET /{full path:path}'. Ao codificar barras como %2F e pontos como %2E%2E, a normalização de caminho do Starlette é ignorada, permitindo que o caminho unido saia do diretório FRONTEND DIST. Isso pode expor dados sensíveis, incluindo chaves privadas SSH, certificados TLS e segredos do aplicativo, por meio de uma única requisição HTTP.

Recomendações Atualize para uma versão que contenha o commit c991dc2 ou posterior.