Platform
go
Component
github.com/olivetin/olivetin
Opgelost in
3000.11.3
0.0.0-20260309102040-b03af0e2eca3
CVE-2026-31817 beschrijft een kwetsbaarheid in OliveTin, een Go-gebaseerd project. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om bestanden te schrijven door de onveilige verwerking van de UniqueTrackingId parameter te misbruiken. De kwetsbaarheid is ontdekt en verholpen in versie 0.0.0-20260309102040-b03af0e2eca3. Upgrade naar deze versie om de impact te verminderen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde bestandsschrijving op het systeem waar OliveTin draait. Dit kan resulteren in het overschrijven van kritieke systeembestanden, het uitvoeren van kwaadaardige code of het verkrijgen van controle over het systeem. De impact is aanzienlijk, vooral in omgevingen waar OliveTin wordt gebruikt voor gevoelige taken of in combinatie met andere systemen. De mogelijkheid om bestanden te schrijven, opent de deur naar verdere aanvallen en kan leiden tot een compromis van de gehele infrastructuur.
Er is momenteel geen publieke proof-of-concept beschikbaar voor CVE-2026-31817. De kwetsbaarheid is op 12 maart 2026 openbaar gemaakt. Het is onduidelijk of deze kwetsbaarheid actief wordt misbruikt, maar de hoge CVSS score (8.5) duidt op een potentieel significant risico. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Organizations and individuals deploying OliveTin in production environments are at risk. This includes those using OliveTin as a component in larger applications or systems. Specifically, environments where the UniqueTrackingId is sourced from untrusted input (e.g., user-supplied data) are at higher risk.
• go / application: Examine application logs for unusual file write attempts, especially those involving the UniqueTrackingId. Use go build -gcflags='all=-N -l' ./main to inspect compiled binaries for potential vulnerabilities.
• generic web: Monitor web server access logs for requests containing unusual or excessively long UniqueTrackingId parameters. Use curl -v <URLWITHMALICIOUS_ID> to test for file write vulnerabilities.
• generic web: Check for unexpected files appearing in sensitive directories (e.g., /etc, /var/www/html) that might indicate successful exploitation.
disclosure
Exploit Status
EPSS
0.26% (49% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.0.0-20260309102040-b03af0e2eca3 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan om de inputvalidatie van de UniqueTrackingId parameter te versterken. Implementeer strenge controles om ervoor te zorgen dat de parameter alleen geaccepteerde waarden bevat en dat bestandspaden correct worden gesanitiseerd. Controleer ook de bestandsrechten en zorg ervoor dat OliveTin niet schrijfrechten heeft in gevoelige directories. Na de upgrade, verifieer de fix door te proberen een bestand te schrijven met een kwaadaardige UniqueTrackingId parameter.
Werk OliveTin bij naar versie 3000.11.2 of hoger. Deze versie corrigeert de directory traversal kwetsbaarheid door het UniqueTrackingId veld te valideren en te sanitiseren voordat het wordt gebruikt in de constructie van het logbestandspad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-31817 is a high-severity vulnerability in OliveTin that allows attackers to write arbitrary files due to unsafe parsing of the UniqueTrackingId, potentially leading to system compromise.
You are affected if you are using OliveTin versions prior to 0.0.0-20260309102040-b03af0e2eca3. Assess your deployments immediately.
Upgrade OliveTin to version 0.0.0-20260309102040-b03af0e2eca3 or later. Implement input validation on the UniqueTrackingId as a temporary mitigation.
There is currently no indication of active exploitation in the wild, but the vulnerability's nature suggests that exploitation is possible.
Refer to the OliveTin project's official communication channels and repositories for the latest advisory and security updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.