PT-2026-54931 · Allegro Ai · Clearml
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-8387
CVSS v3.1
2.4
Baixa
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
allegroai/clearml versões anteriores a 2.1.6
Description
Ocorre um traversal de caminho relativo durante a extração de arquivos
.zip através do método ZipFile.extractall() dentro da função StorageManager. extract to cache(). Isso é causado pela falta de validação de traversal de caminho, permitindo que um invasor escreva arquivos arbitrários no sistema de arquivos. Os vetores de ataque incluem downloads de conjuntos de dados, artefatos e modelos, bem como importações de sessões offline. Isso pode levar à execução remota de código por meio de técnicas como a sobrescrita de chaves SSH, injeção de cron jobs ou implantação de web shells.Recommendations
Atualize para a versão 2.1.6.
Exploit
Correção
RCE
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clearml