CVE-2026-48722

Nome do Software Vulnerável e Versões Afetadas Nextflow versões 25.09.2-edge through 26.04.1

Description O comando nextflow auth login persiste tokens OIDC da Seqera Platform no arquivo ${NXF HOME:-~/.nextflow}/seqera-auth.config. Como o arquivo é criado via Java NIO sem a especificação de permissões, ele é criado com o modo 0644 sob o umask 022 padrão, tornando-o legível por qualquer usuário. Em hosts POSIX multiusuário, como nós de login de HPC ou estações de trabalho compartilhadas, qualquer usuário local capaz de navegar no diretório home da vítima pode ler este arquivo para obter um token bearer válido da Platform e personificar o usuário dentro do escopo do token.

Recommendations Atualize para a versão corrigida. Como medida paliativa temporária, restrinja o arquivo e seu diretório pai executando chmod 600 "${NXF HOME:-$HOME/.nextflow}/seqera-auth.config" e chmod 700 "${NXF HOME:-$HOME/.nextflow}". Alternativamente, forneça o token da Platform através da variável de ambiente TOWER ACCESS TOKEN em vez de usar o comando nextflow auth login. Após a atualização, execute nextflow auth logout, revogue o token na interface da Seqera Platform e execute nextflow auth login novamente.