Platform
go
Component
github.com/treeverse/lakefs
Opgelost in
1.77.1
1.77.0
CVE-2026-26187 beschrijft een Path Traversal kwetsbaarheid in lakeFS, een Git-achtige objectopslaglaag. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot bestanden en directories buiten de beoogde namespace, mogelijk resulterend in data-exfiltratie of manipulatie. De kwetsbaarheid treft versies van lakeFS eerder dan 1.77.0. Een patch is beschikbaar in versie 1.77.0.
De Path Traversal kwetsbaarheid in lakeFS maakt het mogelijk voor een aanvaller om de toegang tot het bestandssysteem te omzeilen en bestanden buiten de toegestane directory's te benaderen. Dit kan leiden tot het lezen, wijzigen of verwijderen van gevoelige data, afhankelijk van de permissies van de gebruiker die de aanval uitvoert. In een scenario waarin lakeFS wordt gebruikt voor het opslaan van configuratiebestanden of andere kritieke data, kan een succesvolle exploit leiden tot een compromittering van de gehele applicatie. De impact kan verder reiken als lakeFS wordt geïntegreerd met andere systemen, waardoor een aanvaller mogelijk toegang kan krijgen tot andere gevoelige omgevingen via deze kwetsbaarheid. Dit is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de toegang tot gevoelige data wordt verkregen door het manipuleren van paden.
CVE-2026-26187 is openbaar bekend gemaakt op 2026-02-17. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst een POC zal verschijnen. De kans op actieve exploitatie is momenteel laag, maar de impact van een succesvolle exploit kan aanzienlijk zijn. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Organizations using lakeFS for data lake management, particularly those with multi-tenant deployments or shared namespaces, are at increased risk. Legacy lakeFS configurations with relaxed access controls are also more vulnerable. Teams relying on lakeFS for sensitive data storage should prioritize patching.
• go / application: Inspect lakeFS configuration files for unusual path entries. Monitor lakeFS logs for suspicious file access attempts, particularly those involving .. sequences.
find /opt/lakefs/ -path "*/..*" -print• generic web: Monitor access logs for requests containing path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check response headers for unexpected file disclosures.
• generic web: Use curl to probe for directory traversal:
curl -v 'http://your-lakefs-instance/../../../../etc/passwd' 2>&1 | grep 'HTTP/1.1 200 OK'disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-26187 is het upgraden naar lakeFS versie 1.77.0 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan het implementeren van restrictieve toegangscontroles op het bestandssysteem om de impact van een potentiële exploit te beperken. Configureer een Web Application Firewall (WAF) om verdachte padmanipulatie te detecteren en te blokkeren. Monitor logbestanden op ongebruikelijke padtoegangsverzoeken. Na de upgrade, verifieer de correcte werking van de applicatie en controleer de toegangscontroles om er zeker van te zijn dat de kwetsbaarheid is verholpen.
Actualice lakeFS a la versión 1.77.0 o superior. Esta versión corrige la vulnerabilidad de path traversal en el adaptador de bloques local, impidiendo el acceso no autorizado a archivos fuera de los límites de almacenamiento designados. La actualización asegura que las rutas solicitadas se validen correctamente y que los identificadores de objetos permanezcan dentro de sus namespaces designados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-26187 is a Path Traversal vulnerability in lakeFS versions before 1.77.0, allowing unauthorized access to files and directories.
You are affected if you are running lakeFS versions prior to 1.77.0. Check your lakeFS version and upgrade immediately if necessary.
Upgrade to lakeFS version 1.77.0 or later to patch the vulnerability. Consider stricter access controls as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is considered exploitable.
Refer to the lakeFS security advisories on their official website or GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.