Dagu は CVE-2026-27598 の不完全な修正であり、locateDAG 内の %2F でエンコードされたスラッシュによるパストラバーサルを引き起こす可能性があります。

この脆弱性は、攻撃者がDaguのAPIエンドポイントに特別に細工されたファイル名を送信することで、DAGsディレクトリ外のファイルにアクセスすることを可能にします。 %2F-encoded forward slashesを利用することで、攻撃者は任意のファイルシステムパスをトラバースし、機密データ（設定ファイル、ログファイル、ソースコードなど）を読み取ることができます。この脆弱性は、Daguをホストするサーバー全体のセキュリティを脅かす可能性があります。攻撃者は、この脆弱性を利用して、サーバー上で任意のコードを実行したり、他のシステムに横展開したりする可能性があります。類似の脆弱性は、ファイルアップロード機能やファイルアクセスAPIに存在する場合に発見されることがあります。

Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.

• linux / server:

journalctl -u dagu -g "locateDAG" | grep -i '%2F'

• generic web:

curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patching

1. 2026-03-19Disclosure

   disclosure

1. 予約済み2026-03-18
2. 公開日2026-03-19
3. 更新日2026-03-27
4. EPSS 更新日2026-04-01

この脆弱性への主な対策は、Daguをバージョン1.30.4-0.20260319093346-7d07fda8f9de以上にアップデートすることです。もしアップデートが困難な場合は、Daguへのアクセスを制限するファイアウォールルールを実装し、不正なファイル名を含むリクエストをブロックすることを検討してください。また、Daguが実行されている環境のアクセス制御を強化し、攻撃者がファイルシステムにアクセスできる範囲を最小限に抑えることが重要です。Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃を検出し、ブロックすることも有効です。