PT-2026-54931 · Allegro Ai · Clearml

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-8387

CVSS v3.1

2.4

Baixa

VetorAV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas allegroai/clearml versões anteriores a 2.1.6
Description Ocorre um traversal de caminho relativo durante a extração de arquivos .zip através do método ZipFile.extractall() dentro da função StorageManager. extract to cache(). Isso é causado pela falta de validação de traversal de caminho, permitindo que um invasor escreva arquivos arbitrários no sistema de arquivos. Os vetores de ataque incluem downloads de conjuntos de dados, artefatos e modelos, bem como importações de sessões offline. Isso pode levar à execução remota de código por meio de técnicas como a sobrescrita de chaves SSH, injeção de cron jobs ou implantação de web shells.
Recommendations Atualize para a versão 2.1.6.

Exploit

Correção

RCE

Relative Path Traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-8387

Produtos afetados

Clearml