Plateforme
go
Composant
github.com/treeverse/lakefs
Corrigé dans
1.77.1
1.77.0
Une vulnérabilité de type Path Traversal a été découverte dans lakeFS, une solution de gestion de données. Cette faille permet à un attaquant d'accéder à des répertoires et espaces de noms non autorisés, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de lakeFS antérieures à 1.77.0. Une correction est disponible et recommandée.
La vulnérabilité de Path Traversal dans lakeFS permet à un attaquant de contourner les mécanismes de contrôle d'accès et d'accéder à des fichiers et répertoires sensibles situés en dehors du répertoire prévu. Cela peut inclure des informations confidentielles, des clés d'API, ou même des données appartenant à d'autres espaces de noms. L'attaquant pourrait potentiellement modifier ou supprimer ces données, entraînant une perte de données ou une interruption de service. L'exploitation réussie de cette vulnérabilité pourrait permettre un accès latéral au système, en particulier si lakeFS est utilisé dans un environnement multi-tenant ou partagé.
Cette vulnérabilité a été rendue publique le 17 février 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le KEV de CISA. Aucun proof-of-concept public n'est actuellement disponible, ce qui réduit le risque d'exploitation à court terme, mais il est important de rester vigilant.
Organizations using lakeFS for data lake management, particularly those with multi-tenant deployments or shared namespaces, are at increased risk. Legacy lakeFS configurations with relaxed access controls are also more vulnerable. Teams relying on lakeFS for sensitive data storage should prioritize patching.
• go / application: Inspect lakeFS configuration files for unusual path entries. Monitor lakeFS logs for suspicious file access attempts, particularly those involving .. sequences.
find /opt/lakefs/ -path "*/..*" -print• generic web: Monitor access logs for requests containing path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check response headers for unexpected file disclosures.
• generic web: Use curl to probe for directory traversal:
curl -v 'http://your-lakefs-instance/../../../../etc/passwd' 2>&1 | grep 'HTTP/1.1 200 OK'disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour lakeFS vers la version 1.77.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est crucial de renforcer les restrictions d'accès au répertoire de lakeFS. Cela peut inclure la configuration de listes de contrôle d'accès (ACL) strictes pour limiter l'accès aux seuls utilisateurs et processus autorisés. Envisagez également de désactiver temporairement les fonctionnalités qui permettent l'accès cross-namespace si elles ne sont pas essentielles. Surveillez attentivement les journaux d'accès pour détecter toute tentative d'accès non autorisé.
Actualice lakeFS a la versión 1.77.0 o superior. Esta versión corrige la vulnerabilidad de path traversal en el adaptador de bloques local, impidiendo el acceso no autorizado a archivos fuera de los límites de almacenamiento designados. La actualización asegura que las rutas solicitadas se validen correctamente y que los identificadores de objetos permanezcan dentro de sus namespaces designados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-26187 is a Path Traversal vulnerability in lakeFS versions before 1.77.0, allowing unauthorized access to files and directories.
You are affected if you are running lakeFS versions prior to 1.77.0. Check your lakeFS version and upgrade immediately if necessary.
Upgrade to lakeFS version 1.77.0 or later to patch the vulnerability. Consider stricter access controls as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is considered exploitable.
Refer to the lakeFS security advisories on their official website or GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.