Dagu tiene una corrección incompleta para CVE-2026-27598: recorrido de ruta a través de barras diagonales codificadas con %2F en locateDAG

La vulnerabilidad de Path Traversal en Dagu permite a un atacante, mediante la manipulación del parámetro {fileName} en las solicitudes GET, DELETE, RENAME y EXECUTE, inyectar secuencias de caracteres %2F-encoded para navegar fuera del directorio de DAGs. Esto significa que un atacante podría leer archivos confidenciales del sistema de archivos subyacente, como archivos de configuración, claves de API o incluso código fuente. El impacto potencial es la exposición de información sensible, lo que podría llevar a una mayor escalada de privilegios o incluso a la toma de control del sistema. Aunque la vulnerabilidad se centra en la lectura de archivos, la información obtenida podría ser utilizada para identificar otras vulnerabilidades o para realizar ataques de ingeniería social.

Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.

• linux / server:

journalctl -u dagu -g "locateDAG" | grep -i '%2F'

• generic web:

curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patching

1. 2026-03-19Disclosure

   disclosure

1. Reservado2026-03-18
2. Publicada2026-03-19
3. Modificada2026-03-27
4. EPSS actualizado2026-04-01

La mitigación principal para CVE-2026-33344 es actualizar Dagu a la versión 1.30.4-0.20260319093346-7d07fda8f9de o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la restricción del acceso a las API vulnerables (GET, DELETE, RENAME, EXECUTE) a través de un firewall de aplicaciones web (WAF) o un proxy inverso, configurando reglas para bloquear solicitudes con caracteres %2F en el parámetro {fileName}. Además, se recomienda revisar y endurecer los permisos de acceso a los archivos y directorios del sistema de archivos, limitando el acceso solo a los usuarios y procesos que lo necesiten. Verifique después de la actualización que la ruta de acceso a los DAGs se valida correctamente y que no se permite el acceso a archivos fuera de ese directorio.