PT-2026-56468 · Seaweedfs · Seaweedfs

Publicado

2026-07-08

·

Atualizado

2026-07-08

·

CVE-2026-55874

CVSS v3.1

7.7

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas SeaweedFS versões anteriores a 4.34
Description O gateway da API S3 não valida adequadamente a entrada no cabeçalho X-Amz-Copy-Source utilizado pelas funções CopyObject e UploadPartCopy. Essa validação inadequada permite o uso de segmentos de caminho dot-dot, levando a uma condição de path traversal (travessia de diretório) durante a análise da origem da cópia no servidor. Consequentemente, um usuário autenticado restrito a um único bucket pode criar requisições para ler e copiar objetos de outros buckets, resultando em acesso não autorizado a dados e na quebra do isolamento entre locatários.
Recommendations Atualizar para a versão 4.34.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55874

Produtos afetados

Seaweedfs