Plateforme
java
Composant
io.qameta.allure:allure-generator
Corrigé dans
2.38.1
2.38.0
La vulnérabilité CVE-2026-33166 est une faille de traversal de chemin (Path Traversal) affectant le générateur de rapports Allure, développé par io.qameta. Cette faille permet à un attaquant de lire des fichiers arbitraires sur le système hôte en manipulant les résultats des tests. Elle concerne les versions du générateur Allure antérieures ou égales à 2.9.0. Une version corrigée, 2.38.0, est disponible.
Un attaquant peut exploiter cette vulnérabilité en créant un fichier de résultats de test malveillant (-result.json, -container.json, ou .plist) contenant des chemins d'accès aux fichiers qui pointent vers des fichiers sensibles sur le serveur. Lors de la génération du rapport Allure, le logiciel tentera de résoudre ces chemins et inclura le contenu des fichiers sensibles dans le rapport final. Cela peut permettre à l'attaquant de compromettre des informations confidentielles telles que des clés API, des mots de passe, des informations de configuration ou des données sensibles stockées sur le système de fichiers. La surface d'attaque est large, car elle concerne tous les environnements utilisant Allure pour la génération de rapports de tests.
Cette vulnérabilité a été rendue publique le 2026-03-18. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. Un Proof of Concept (PoC) public pourrait être développé, augmentant le risque d'exploitation. Il est conseillé de surveiller les sources d'information sur les vulnérabilités (NVD, CISA) pour d'éventuelles mises à jour.
Organizations using Allure report generator for test automation and continuous integration/continuous delivery (CI/CD) pipelines are at risk. This includes teams using Java-based testing frameworks and those who store test results in shared locations accessible to multiple users. Legacy systems or environments with outdated software management practices are particularly vulnerable.
• java / server:
find /path/to/allure/results -name '*.json' -mtime -7 -print0 | xargs -0 grep -i '..\..' # Check for path traversal attempts• generic web: Inspect Allure report generation logs for unusual file access patterns or errors related to file resolution. • java / supply-chain: Review dependencies for vulnerable versions of allure-generator. Use dependency scanning tools to identify instances of Allure report generator versions <= 2.9.0.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour le générateur Allure vers la version 2.38.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'accès aux fichiers de résultats de test et de renforcer les contrôles d'accès au système de fichiers. Il est également recommandé de désactiver temporairement les fonctionnalités de génération de rapports qui utilisent des chemins d'accès fournis par l'utilisateur. Vérifiez après la mise à jour que la génération de rapports ne présente plus de comportement inattendu et que les fichiers sensibles ne sont pas inclus.
Actualice Allure Report a la versión 2.38.0 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante path traversal. La actualización evitará que atacantes puedan acceder a archivos sensibles en el sistema host durante la generación de informes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33166 is a Path Traversal vulnerability affecting Allure report generator versions up to 2.9.0. It allows attackers to read arbitrary files from the host system by crafting malicious test result files.
You are affected if you are using Allure report generator versions 2.9.0 or earlier. Check your installed version and upgrade if necessary.
Upgrade to version 2.38.0 or later. If immediate upgrade isn't possible, implement input validation on test result files.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation suggests a potential risk.
Refer to the official io.qameta advisory for detailed information and updates: [https://github.com/allure-framework/allure-generator/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory link)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.