Platform
java
Component
io.qameta.allure:allure-generator
Opgelost in
2.38.1
2.38.0
CVE-2026-33166 beschrijft een Path Traversal kwetsbaarheid in de io.qameta.allure-generator, een tool voor het genereren van testrapporten. Deze kwetsbaarheid stelt een aanvaller in staat om gevoelige bestanden op het systeem te lezen door kwaadaardige resultaatbestanden te manipuleren. De kwetsbaarheid treft versies van io.qameta.allure-generator tot en met 2.9.0. Een upgrade naar versie 2.38.0 of hoger is de aanbevolen oplossing.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen. Dit kan gevoelige informatie omvatten, zoals configuratiebestanden, API-sleutels, of zelfs broncode. De impact is aanzienlijk, omdat de aanvaller toegang kan krijgen tot kritieke gegevens en mogelijk verdere toegang kan verwerven tot het systeem. De kwetsbaarheid is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer leidt tot ongeautoriseerde toegang tot bestanden.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-03-18. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis. Er zijn geen publieke Proof-of-Concept (POC) exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept.
Organizations using Allure report generator for test automation and continuous integration/continuous delivery (CI/CD) pipelines are at risk. This includes teams using Java-based testing frameworks and those who store test results in shared locations accessible to multiple users. Legacy systems or environments with outdated software management practices are particularly vulnerable.
• java / server:
find /path/to/allure/results -name '*.json' -mtime -7 -print0 | xargs -0 grep -i '..\..' # Check for path traversal attempts• generic web: Inspect Allure report generation logs for unusual file access patterns or errors related to file resolution. • java / supply-chain: Review dependencies for vulnerable versions of allure-generator. Use dependency scanning tools to identify instances of Allure report generator versions <= 2.9.0.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 2.38.0 of hoger van io.qameta.allure-generator. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het streng valideren van de attachment paden in de resultaatbestanden. Dit kan worden bereikt door ervoor te zorgen dat de paden relatief zijn en niet beginnen met ../. Het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren, kan ook helpen. Na de upgrade, controleer de gegenereerde rapporten om te bevestigen dat er geen ongeautoriseerde bestanden worden opgenomen.
Actualice Allure Report a la versión 2.38.0 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante path traversal. La actualización evitará que atacantes puedan acceder a archivos sensibles en el sistema host durante la generación de informes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33166 is a Path Traversal vulnerability affecting Allure report generator versions up to 2.9.0. It allows attackers to read arbitrary files from the host system by crafting malicious test result files.
You are affected if you are using Allure report generator versions 2.9.0 or earlier. Check your installed version and upgrade if necessary.
Upgrade to version 2.38.0 or later. If immediate upgrade isn't possible, implement input validation on test result files.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation suggests a potential risk.
Refer to the official io.qameta advisory for detailed information and updates: [https://github.com/allure-framework/allure-generator/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory link)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.