Plataforma
java
Componente
io.qameta.allure:allure-generator
Corregido en
2.38.1
2.38.0
La librería io.qameta.allure:allure-generator, utilizada para generar informes de pruebas, presenta una vulnerabilidad de Path Traversal. Esta permite a un atacante leer archivos arbitrarios en el sistema host mediante la manipulación de archivos de resultados de pruebas maliciosos. La vulnerabilidad afecta a versiones 2.9.0 y anteriores, y se ha solucionado en la versión 2.38.0.
Un atacante puede explotar esta vulnerabilidad creando archivos de resultados de pruebas (result.json, container.json, o .plist) que contengan rutas de archivos maliciosas. Durante la generación del informe, Allure resolverá estas rutas sin una validación adecuada, lo que permitirá al atacante incluir archivos sensibles del sistema en el informe generado. Esto podría resultar en la exposición de información confidencial, como claves de API, contraseñas, o datos de configuración. El impacto potencial es alto, ya que la vulnerabilidad permite el acceso no autorizado a recursos del sistema.
Esta vulnerabilidad fue publicada el 18 de marzo de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. La probabilidad de explotación se considera media, dado que requiere la creación de archivos de resultados maliciosos y la ejecución del generador de informes con estos archivos. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción.
Organizations using Allure report generator for test automation and continuous integration/continuous delivery (CI/CD) pipelines are at risk. This includes teams using Java-based testing frameworks and those who store test results in shared locations accessible to multiple users. Legacy systems or environments with outdated software management practices are particularly vulnerable.
• java / server:
find /path/to/allure/results -name '*.json' -mtime -7 -print0 | xargs -0 grep -i '..\..' # Check for path traversal attempts• generic web: Inspect Allure report generation logs for unusual file access patterns or errors related to file resolution. • java / supply-chain: Review dependencies for vulnerable versions of allure-generator. Use dependency scanning tools to identify instances of Allure report generator versions <= 2.9.0.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 2.38.0 de io.qameta.allure:allure-generator. Si la actualización no es inmediatamente posible, se recomienda revisar y validar cuidadosamente los archivos de resultados de pruebas antes de utilizarlos para generar informes. Implementar controles de acceso estrictos a los directorios donde se almacenan los archivos de resultados también puede ayudar a reducir el riesgo. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan rutas de archivos sospechosas.
Actualice Allure Report a la versión 2.38.0 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante path traversal. La actualización evitará que atacantes puedan acceder a archivos sensibles en el sistema host durante la generación de informes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33166 is a Path Traversal vulnerability affecting Allure report generator versions up to 2.9.0. It allows attackers to read arbitrary files from the host system by crafting malicious test result files.
You are affected if you are using Allure report generator versions 2.9.0 or earlier. Check your installed version and upgrade if necessary.
Upgrade to version 2.38.0 or later. If immediate upgrade isn't possible, implement input validation on test result files.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation suggests a potential risk.
Refer to the official io.qameta advisory for detailed information and updates: [https://github.com/allure-framework/allure-generator/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory link)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.