Plateforme
rust
Composant
zeptoclaw
Corrigé dans
0.7.7
0.7.6
La vulnérabilité CVE-2026-32232 affecte zeptoclaw, un composant écrit en Rust, et concerne des contournements de l'application des limites de l'espace de travail. Ces contournements incluent un risque lié aux symlinks « dangling » et une condition de concurrence (TOCTOU) entre la validation et l'utilisation des chemins. L'exploitation réussie peut permettre la lecture et l'écriture en dehors des limites de l'espace de travail, compromettant potentiellement la sécurité de l'application. La version corrigée est 0.7.6.
Cette vulnérabilité permet à un attaquant de contourner les mécanismes de protection de l'espace de travail de zeptoclaw. Le premier contournement, lié aux symlinks « dangling », se produit lorsque la validation d'un chemin ne détecte pas un symlink non résolu, qui peut ensuite pointer vers une zone externe. Le second contournement, une condition de concurrence (TOCTOU), survient entre le moment où un chemin est validé et le moment où il est utilisé. Ces deux mécanismes peuvent être exploités pour permettre des opérations de lecture et d'écriture en dehors des limites de l'espace de travail prévu, ce qui pourrait conduire à une exfiltration de données sensibles ou à une modification non autorisée de fichiers. L'impact est amplifié si zeptoclaw est utilisé dans un contexte où l'intégrité des données est critique.
La vulnérabilité CVE-2026-32232 a été rendue publique le 2026-03-12. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de PoC publics largement diffusés. La probabilité d'exploitation est considérée comme modérée, compte tenu de la complexité potentielle de l'exploitation et de la nécessité d'une connaissance approfondie du fonctionnement interne de zeptoclaw.
Applications and systems that rely on Zeptoclaw for workspace boundary enforcement are at risk. This includes applications that handle user-uploaded files or process data from untrusted sources. Specifically, deployments using older versions of Zeptoclaw (prior to 0.7.6) and those with less stringent path validation controls are particularly vulnerable.
• rust / component: Examine Zeptoclaw's src/security/path.rs file for the checksymlinkescape function. Look for instances where symlink resolution is not properly validated before use.
• generic web: Monitor file access logs for unusual patterns involving symlinks or attempts to access files outside the expected workspace directory.
• generic web: Review application code for any direct calls to Zeptoclaw's path validation functions and ensure they are being used correctly.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
La mitigation principale consiste à mettre à jour zeptoclaw vers la version 0.7.6, qui corrige ces vulnérabilités. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être envisagées. Il est crucial de renforcer la validation des chemins d'accès, en s'assurant que les symlinks sont correctement résolus avant toute opération. Envisagez également de désactiver temporairement les fonctionnalités qui utilisent intensivement les symlinks, si cela est possible sans affecter la fonctionnalité essentielle. Surveillez les journaux d'accès pour détecter des tentatives d'accès inhabituelles ou des erreurs liées à la validation des chemins.
Mettez à jour ZeptoClaw à la version 0.7.6 ou supérieure. Cette version corrige les vulnérabilités d'omission des vérifications de limites de chemin via lien symbolique, TOCTOU et lien matériel.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32232 is a HIGH severity vulnerability in Zeptoclaw affecting versions before 0.7.6. It allows attackers to bypass workspace boundaries through dangling symlinks and TOCTOU conditions, potentially leading to unauthorized access.
You are affected if you are using Zeptoclaw version 0.7.5 or earlier. Upgrade to version 0.7.6 to address the vulnerability.
Upgrade Zeptoclaw to version 0.7.6 or later. If upgrading is not possible immediately, implement stricter path validation controls at the application level.
There is currently no indication of active exploitation, but the potential for exploitation exists and warrants attention.
Refer to the Zeptoclaw project's official release notes and security advisories for detailed information and updates regarding CVE-2026-32232.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.