Plateforme
other
Composant
openviking
Corrigé dans
0.2.2
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans OpenViking, affectant les versions 0.2.1 et antérieures. Cette faille permet à un attaquant d'écrire des fichiers en dehors du répertoire d'importation prévu, compromettant potentiellement l'intégrité du système. La vulnérabilité a été corrigée dans le commit 46b3e76. Il est fortement recommandé de mettre à jour OpenViking vers la version corrigée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'écrire des fichiers arbitraires sur le système OpenViking. Cela peut inclure l'écritures de fichiers exécutables, la modification de fichiers de configuration, ou la suppression de données critiques. L'attaquant peut potentiellement prendre le contrôle du système ou compromettre sa confidentialité et sa disponibilité. La capacité d'écrire des fichiers en dehors du répertoire d'importation offre un large éventail de possibilités d'attaque, rendant cette vulnérabilité particulièrement préoccupante. L'attaquant pourrait, par exemple, remplacer des fichiers système par des versions malveillantes, permettant ainsi l'exécution de code arbitraire avec les privilèges du processus d'importation.
Cette vulnérabilité a été rendue publique le 2026-03-03. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun proof-of-concept (PoC) public n'est connu à ce jour, mais la nature de la vulnérabilité (path traversal) la rend potentiellement exploitable par des acteurs malveillants disposant de compétences techniques. La faible complexité de l'exploitation rend cette vulnérabilité potentiellement dangereuse.
Organizations and individuals utilizing OpenViking for package management or deployment are at risk. This includes environments where .ovpack files are imported from untrusted sources or where the OpenViking process runs with elevated privileges. Shared hosting environments where multiple users share the same OpenViking instance are particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenViking vers la version corrigée, incluant le commit 46b3e76. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être envisagées. Il est recommandé de restreindre l'accès au répertoire d'importation et de surveiller les tentatives d'écriture de fichiers non autorisés. L'utilisation d'un pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes contenant des séquences de traversal de chemin. Il est également important de vérifier l'intégrité des fichiers OpenViking pour détecter toute modification non autorisée. Après la mise à jour, vérifiez l'absence de fichiers suspects dans le répertoire d'importation et testez l'importation de fichiers avec des noms contenant des caractères spéciaux.
Actualice OpenViking a la versión posterior al commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Esto corrige la vulnerabilidad de path traversal al importar archivos .ovpack. Asegúrese de obtener la actualización desde la fuente oficial de Volcengine.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28518 is a Path Traversal vulnerability affecting OpenViking versions 0.2.1 and earlier, allowing attackers to write files outside the intended import directory via crafted ZIP archives.
You are affected if you are using OpenViking versions 0.2.1 or earlier. Upgrade to commit 46b3e76e28b9b3eee73693720c9ec48820228b72 to mitigate the risk.
Upgrade OpenViking to commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Implement input validation and restrict file write permissions as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the OpenViking project's official communication channels and repository for the latest advisory regarding CVE-2026-28518.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.