Plataforma
rust
Componente
salvo
Corregido en
0.39.1
0.89.3
Se ha descubierto una vulnerabilidad de Path Traversal y omisión de control de acceso en el componente Salvo Proxy del framework Rust Salvo (v0.89.2). Esta falla permite a un atacante externo no autenticado eludir las restricciones de enrutamiento del proxy y acceder a rutas backend no deseadas, como puntos finales protegidos o paneles de administración. La actualización a la versión 0.89.3 soluciona este problema.
La vulnerabilidad de Path Traversal en Salvo Proxy permite a un atacante eludir las restricciones de enrutamiento del proxy y acceder a recursos sensibles en el servidor backend. Esto podría incluir la lectura de archivos de configuración, la ejecución de comandos arbitrarios en el servidor o el acceso a datos confidenciales almacenados en la base de datos. Un atacante podría, por ejemplo, utilizar secuencias "../" para navegar fuera del directorio previsto y acceder a archivos o directorios que normalmente estarían protegidos. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo, ya que cualquier atacante externo puede intentar aprovecharla.
Esta vulnerabilidad ha sido publicada el 2026-03-19. No se ha reportado explotación activa a la fecha, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a escaneo automatizado. La falta de autenticación necesaria para la explotación aumenta la probabilidad de que sea atacada. Se recomienda monitorear activamente los sistemas afectados.
Organizations utilizing the Salvo Rust framework in their proxy or API gateway infrastructure are at risk. This includes those deploying Salvo in production environments, particularly those with exposed backend services or administrative interfaces. Applications relying on Salvo for routing and security should be prioritized for patching.
• rust/supply-chain: Examine Cargo.toml files for dependencies on salvo versions prior to 0.89.3. Use cargo audit to identify vulnerable dependencies.
• generic web: Monitor access logs for requests containing suspicious URL patterns like .../.. or ..././...
• generic web: Inspect response headers for unexpected backend paths being exposed.
curl -I 'http://your-salvo-proxy/../../sensitive-resource' # Example request to test for bypassdisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 0.89.3 de Salvo Proxy, que corrige el problema de Path Traversal. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall o proxy que restrinjan el acceso a las rutas backend sensibles. Además, se debe revisar y endurecer la configuración del servidor backend para minimizar el impacto potencial de una explotación exitosa. Se recomienda monitorear los registros del servidor en busca de intentos de acceso no autorizados o patrones de tráfico sospechosos que puedan indicar un ataque en curso.
Actualice Salvo a la versión 0.89.3 o superior. Esta versión corrige la vulnerabilidad de Path Traversal en el componente salvo-proxy.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33242 is a Path Traversal vulnerability in the Salvo Rust framework, allowing attackers to bypass proxy routing and access backend resources.
You are affected if you are using Salvo Rust framework versions prior to 0.89.3 and expose backend resources through the proxy.
Upgrade to Salvo Rust framework version 0.89.3 or later. Implement WAF rules to block suspicious URL patterns as a temporary mitigation.
There are currently no known reports of active exploitation campaigns for CVE-2026-33242.
Refer to the Salvo project's official release notes and security advisories on their GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Cargo.lock y te decimos al instante si estás afectado.