Platform
other
Component
openviking
Opgelost in
0.2.2
CVE-2026-28518 beschrijft een Path Traversal kwetsbaarheid in OpenViking, een softwarepakket. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de beoogde importdirectory te overschrijven. De kwetsbaarheid treedt op in versies 0.2.1 en eerder van OpenViking, maar is verholpen in commit 46b3e76e28b9b3eee73693720c9ec48820228b72.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde bestandsschrijfbewerkingen op het systeem waar OpenViking draait. Aanvallers kunnen malafide ZIP-archieven maken met traversal sequences, absolute paden of schijfprefixen in bestandsnamen. Hierdoor kunnen ze willekeurige bestanden overschrijven of aanmaken met de privileges van het importerende proces. Dit kan leiden tot compromittering van de server, dataverlies of het uitvoeren van schadelijke code. De impact is aanzienlijk, omdat een aanvaller de controle over het systeem kan overnemen door kritieke bestanden te wijzigen of te vervangen.
Er is momenteel geen publieke exploitatie van CVE-2026-28518 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-03. De CVSS score is 7.8 (HIGH), wat duidt op een aanzienlijke risico. Er is geen vermelding op de CISA KEV catalogus op dit moment.
Organizations and individuals utilizing OpenViking for package management or deployment are at risk. This includes environments where .ovpack files are imported from untrusted sources or where the OpenViking process runs with elevated privileges. Shared hosting environments where multiple users share the same OpenViking instance are particularly vulnerable.
disclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28518 is het upgraden naar OpenViking commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de importdirectory en het implementeren van strenge validatie van bestandsnamen en paden. Controleer de bestanden die geïmporteerd worden op traversal sequences. Een Web Application Firewall (WAF) kan worden geconfigureerd om verdachte paden in inkomende verzoeken te blokkeren. Na de upgrade, controleer de logbestanden op ongebruikelijke bestandstoegangsactiviteit om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice OpenViking a la versión posterior al commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Esto corrige la vulnerabilidad de path traversal al importar archivos .ovpack. Asegúrese de obtener la actualización desde la fuente oficial de Volcengine.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28518 is a Path Traversal vulnerability affecting OpenViking versions 0.2.1 and earlier, allowing attackers to write files outside the intended import directory via crafted ZIP archives.
You are affected if you are using OpenViking versions 0.2.1 or earlier. Upgrade to commit 46b3e76e28b9b3eee73693720c9ec48820228b72 to mitigate the risk.
Upgrade OpenViking to commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Implement input validation and restrict file write permissions as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the OpenViking project's official communication channels and repository for the latest advisory regarding CVE-2026-28518.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.