Plataforma
other
Componente
openviking
Corregido en
0.2.2
Se ha descubierto una vulnerabilidad de Path Traversal en OpenViking, versiones 0.2.1 y anteriores. Esta falla permite a atacantes escribir archivos arbitrarios fuera del directorio de importación previsto, comprometiendo la integridad del sistema. La vulnerabilidad se encuentra en el manejo de archivos .ovpack durante la importación y ha sido corregida en el commit 46b3e76e28b9b3eee73693720c9ec48820228b72.
Un atacante puede explotar esta vulnerabilidad creando archivos ZIP maliciosos que contengan secuencias de recorrido de directorios, rutas absolutas o prefijos de unidad en los nombres de los miembros. Al importar estos archivos ZIP, el proceso de importación, que opera con privilegios elevados, puede ser engañado para escribir archivos en ubicaciones inesperadas del sistema de archivos. Esto podría resultar en la sobreescritura de archivos de configuración críticos, la ejecución de código malicioso o el acceso no autorizado a datos sensibles. La severidad de este impacto depende de los privilegios con los que se ejecute el proceso de importación y de la sensibilidad de los datos almacenados en el sistema.
Esta vulnerabilidad fue publicada el 2026-03-03. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para atacantes. La falta de una puntuación EPSS indica una evaluación inicial de baja a media probabilidad de explotación, aunque esto puede cambiar a medida que se disponga de más información. Se recomienda monitorear activamente los sistemas OpenViking en busca de actividad sospechosa.
Organizations and individuals utilizing OpenViking for package management or deployment are at risk. This includes environments where .ovpack files are imported from untrusted sources or where the OpenViking process runs with elevated privileges. Shared hosting environments where multiple users share the same OpenViking instance are particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar OpenViking a la versión corregida, identificada por el commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos al directorio de importación para limitar el acceso de escritura solo a usuarios autorizados. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de recorrido de directorios en los nombres de los archivos. Después de la actualización, confirme la corrección revisando los registros del sistema en busca de intentos de acceso no autorizados o escritura de archivos.
Actualice OpenViking a la versión posterior al commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Esto corrige la vulnerabilidad de path traversal al importar archivos .ovpack. Asegúrese de obtener la actualización desde la fuente oficial de Volcengine.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28518 is a Path Traversal vulnerability affecting OpenViking versions 0.2.1 and earlier, allowing attackers to write files outside the intended import directory via crafted ZIP archives.
You are affected if you are using OpenViking versions 0.2.1 or earlier. Upgrade to commit 46b3e76e28b9b3eee73693720c9ec48820228b72 to mitigate the risk.
Upgrade OpenViking to commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Implement input validation and restrict file write permissions as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the OpenViking project's official communication channels and repository for the latest advisory regarding CVE-2026-28518.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.