Plataforma
linux
Componente
sleuthkit
Corregido en
4.14.1
Se ha identificado una vulnerabilidad de Path Traversal en The Sleuth Kit, afectando versiones desde 0.0.0 hasta a3f96b3bc36a8bb1a00c297f77110d4a6e7dd31b. Esta falla permite a un atacante escribir archivos en ubicaciones arbitrarias fuera del directorio de recuperación previsto dentro de una imagen de sistema de archivos. La vulnerabilidad se encuentra en la función tsk_recover y puede ser explotada mediante nombres de archivo o rutas de directorio maliciosos que contienen secuencias de path traversal (como /../). La versión 4.15.0 corrige esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad para escribir archivos en ubicaciones arbitrarias en el sistema de archivos, potencialmente comprometiendo la integridad del sistema. Esto podría incluir la sobrescritura de archivos de configuración de shell, entradas de cron o incluso archivos ejecutables, lo que podría resultar en la ejecución de código malicioso con los privilegios del usuario que ejecuta The Sleuth Kit. La capacidad de escribir en ubicaciones arbitrarias amplía significativamente el alcance del ataque, permitiendo potencialmente el control total del sistema afectado. Aunque no se han reportado explotaciones públicas, la naturaleza de la vulnerabilidad y su potencial impacto la convierten en una preocupación significativa.
Esta vulnerabilidad fue publicada el 8 de abril de 2026. Actualmente no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a la explotación. La probabilidad de explotación se considera moderada, dado el potencial impacto y la disponibilidad de herramientas para explotar vulnerabilidades de este tipo.
Digital forensics investigators and security analysts who utilize The Sleuth Kit for analyzing filesystem images are at risk. Specifically, those using older, unpatched versions of the tool in automated workflows or environments with limited access controls are particularly vulnerable. Shared hosting environments where multiple users have access to filesystem images are also at increased risk.
• linux / server:
journalctl -g "tsk_recover" -u the-sleuth-kit | grep -i "path traversal"• linux / server:
lsof | grep /path/to/recovery/directory/../• linux / server:
find / -name '*..*' -print 2>/dev/nulldisclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 4.15.0 de The Sleuth Kit. Si la actualización no es inmediatamente posible, se recomienda tomar medidas de mitigación temporales. Estas medidas incluyen restringir el acceso a la función tskrecover solo a usuarios confiables y validar cuidadosamente todas las entradas de nombres de archivo y rutas de directorio antes de procesarlas. Implementar una WAF (Web Application Firewall) o un proxy inverso con reglas para bloquear patrones de path traversal comunes puede proporcionar una capa adicional de protección. Monitorear los registros del sistema en busca de intentos de escritura de archivos en ubicaciones inesperadas también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la mitigación verificando que tskrecover no permita la escritura fuera del directorio de recuperación con nombres de archivo maliciosos.
Actualizar a la versión 4.15.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. La actualización corrige la forma en que tsk_recover maneja los nombres de archivo, evitando la escritura de archivos fuera del directorio de recuperación previsto. Verificar la integridad de las imágenes de sistema de archivos antes de procesarlas con tsk_recover.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40024 is a path traversal vulnerability in The Sleuth Kit allowing attackers to write files outside the intended recovery directory, potentially leading to code execution.
You are affected if you are using The Sleuth Kit versions 0.0.0–a3f96b3bc36a8bb1a00c297f77110d4a6e7dd31b or earlier.
Upgrade to The Sleuth Kit version 4.15.0 or later to resolve the vulnerability.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official The Sleuth Kit project website and security mailing lists for updates and advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.