Plataforma
go
Componente
github.com/treeverse/lakefs
Corregido en
1.77.1
1.77.0
La vulnerabilidad CVE-2026-26187 es un fallo de recorrido de ruta (Path Traversal) descubierto en lakeFS, una plataforma de gestión de datos. Este fallo permite a atacantes acceder a directorios y archivos fuera del espacio asignado, comprometiendo la confidencialidad de los datos. Afecta a versiones de lakeFS anteriores a 1.77.0 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
El impacto de esta vulnerabilidad es significativo, ya que un atacante puede explotarla para leer archivos confidenciales ubicados fuera del directorio previsto. Esto podría incluir credenciales de acceso, información de configuración sensible o incluso código fuente. La posibilidad de acceso cruzado entre espacios de nombres y directorios hermanos amplía el alcance del ataque, permitiendo potencialmente el acceso a datos pertenecientes a otros usuarios o aplicaciones. Un atacante con acceso podría, por ejemplo, leer archivos de configuración de otros proyectos almacenados en el mismo sistema de archivos, obteniendo información valiosa para futuros ataques. La falta de controles de acceso adecuados agrava el riesgo, facilitando la explotación de esta vulnerabilidad.
La vulnerabilidad CVE-2026-26187 fue publicada el 17 de febrero de 2026. No se ha confirmado explotación activa en entornos reales, pero la naturaleza del fallo de recorrido de ruta lo convierte en un objetivo atractivo para atacantes. La disponibilidad de la corrección en la versión 1.77.0 reduce el riesgo para los usuarios que apliquen las actualizaciones de seguridad de manera oportuna. No se ha listado en el KEV de CISA al momento de la redacción.
Organizations using lakeFS for data lake management, particularly those with multi-tenant deployments or shared namespaces, are at increased risk. Legacy lakeFS configurations with relaxed access controls are also more vulnerable. Teams relying on lakeFS for sensitive data storage should prioritize patching.
• go / application: Inspect lakeFS configuration files for unusual path entries. Monitor lakeFS logs for suspicious file access attempts, particularly those involving .. sequences.
find /opt/lakefs/ -path "*/..*" -print• generic web: Monitor access logs for requests containing path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check response headers for unexpected file disclosures.
• generic web: Use curl to probe for directory traversal:
curl -v 'http://your-lakefs-instance/../../../../etc/passwd' 2>&1 | grep 'HTTP/1.1 200 OK'disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26187 es actualizar lakeFS a la versión 1.77.0 o superior, que incluye la corrección para este fallo. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar el acceso a los directorios y archivos sensibles. Esto puede incluir la configuración de permisos de archivo y directorio, así como la implementación de políticas de seguridad que restrinjan el acceso a los recursos del sistema. Considere la implementación de un Web Application Firewall (WAF) con reglas que bloqueen intentos de recorrido de ruta. Monitorear los logs de lakeFS en busca de patrones de acceso inusuales también puede ayudar a detectar y responder a posibles ataques.
Actualice lakeFS a la versión 1.77.0 o superior. Esta versión corrige la vulnerabilidad de path traversal en el adaptador de bloques local, impidiendo el acceso no autorizado a archivos fuera de los límites de almacenamiento designados. La actualización asegura que las rutas solicitadas se validen correctamente y que los identificadores de objetos permanezcan dentro de sus namespaces designados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26187 is a Path Traversal vulnerability in lakeFS versions before 1.77.0, allowing unauthorized access to files and directories.
You are affected if you are running lakeFS versions prior to 1.77.0. Check your lakeFS version and upgrade immediately if necessary.
Upgrade to lakeFS version 1.77.0 or later to patch the vulnerability. Consider stricter access controls as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is considered exploitable.
Refer to the lakeFS security advisories on their official website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.