Plateforme
go
Composant
github.com/dagu-org/dagu
Corrigé dans
2.0.1
1.30.4-0.20260319093346-7d07fda8f9de
La vulnérabilité CVE-2026-33344 est une faille de traversal de chemin (Path Traversal) affectant le projet Dagu, une bibliothèque Go. Cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires en dehors du répertoire DAGs en manipulant les paramètres d'URL. Les versions antérieures à 1.30.4-0.20260319093346-7d07fda8f9de sont concernées. Une mise à jour vers la version corrigée est recommandée.
Un attaquant peut exploiter cette vulnérabilité en injectant des séquences encodées en %2F dans les paramètres d'URL des points d'accès GET, DELETE, RENAME et EXECUTE. Cela permet de contourner la validation du nom de DAG et d'accéder à des fichiers situés en dehors du répertoire prévu. Les fichiers sensibles, tels que les fichiers de configuration, les clés API ou les données confidentielles, pourraient être compromis. L'impact potentiel est la divulgation d'informations sensibles et la compromission de la confidentialité des données. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été divulguée publiquement le 2026-03-19. Elle n'est pas encore répertoriée sur KEV (CISA Known Exploited Vulnerabilities) ni n'a de score EPSS. Bien qu'aucun proof-of-concept public n'ait été largement diffusé, la nature simple de la vulnérabilité suggère qu'un tel PoC pourrait être développé rapidement. Il est donc crucial de prendre des mesures de mitigation proactives.
Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.
• linux / server:
journalctl -u dagu -g "locateDAG" | grep -i '%2F'• generic web:
curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patchingdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Dagu vers la version 1.30.4-0.20260319093346-7d07fda8f9de ou une version ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à configurer un proxy inverse ou un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences encodées en %2F dans les paramètres d'URL des points d'accès vulnérables. Vérifiez également les règles d'accès au système de fichiers sous-jacent pour limiter les privilèges des processus exécutant Dagu. Après la mise à jour, vérifiez l'intégrité de l'installation en exécutant des tests de pénétration ciblés sur les points d'accès vulnérables.
Actualice Dagu a la versión 2.3.1 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente los nombres de los DAG en todos los endpoints de la API.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33344 is a Path Traversal vulnerability affecting Dagu versions before 1.30.4-0.20260319093346-7d07fda8f9de, allowing attackers to access files outside the intended directory.
If you are running Dagu versions prior to 1.30.4-0.20260319093346-7d07fda8f9de, you are potentially affected by this vulnerability.
Upgrade Dagu to version 1.30.4-0.20260319093346-7d07fda8f9de or later. Consider WAF rules as a temporary mitigation.
There are currently no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the Dagu project's official repository and release notes for the advisory and patch details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.