Platform
rust
Component
salvo
Opgelost in
0.39.1
0.89.3
Een Path Traversal en Access Control Bypass kwetsbaarheid is ontdekt in de salvo-proxy component van het Salvo Rust framework (versie 0.89.2). Deze kwetsbaarheid stelt een ongeauthenticeerde externe aanvaller in staat om proxy routing beperkingen te omzeilen en toegang te krijgen tot onbedoelde backend paden. De kwetsbaarheid is verholpen in versie 0.89.3.
Deze Path Traversal kwetsbaarheid maakt het mogelijk voor een aanvaller om de proxy routing te omzeilen en toegang te krijgen tot gevoelige backend paden, zoals beschermde endpoints of administratieve dashboards. Door de onjuiste verwerking van "../" sequences in de encodeurlpath functie, worden deze sequences ongewijzigd doorgegeven aan de upstream server. Dit kan leiden tot het blootleggen van interne bestanden, configuratiegegevens en andere gevoelige informatie die normaal gesproken niet toegankelijk zouden zijn voor externe gebruikers. De impact is aanzienlijk, aangezien een aanvaller potentieel volledige controle kan krijgen over de backend applicatie.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van schrijven. Er zijn geen publieke proof-of-concept exploits bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er snel exploits zullen verschijnen. De kwetsbaarheid werd publiek bekendgemaakt op 2026-03-19.
Organizations utilizing the Salvo Rust framework in their proxy or API gateway infrastructure are at risk. This includes those deploying Salvo in production environments, particularly those with exposed backend services or administrative interfaces. Applications relying on Salvo for routing and security should be prioritized for patching.
• rust/supply-chain: Examine Cargo.toml files for dependencies on salvo versions prior to 0.89.3. Use cargo audit to identify vulnerable dependencies.
• generic web: Monitor access logs for requests containing suspicious URL patterns like .../.. or ..././...
• generic web: Inspect response headers for unexpected backend paths being exposed.
curl -I 'http://your-salvo-proxy/../../sensitive-resource' # Example request to test for bypassdisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.89.3 van het Salvo Rust framework. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy die de inkomende verzoeken filtert op verdachte patronen, zoals "../". Configureer de proxy om alle URL's te normaliseren en te valideren voordat ze worden doorgestuurd naar de backend server. Monitor de logbestanden op ongebruikelijke URL-patronen en probeersels om toegang te krijgen tot onbedoelde paden.
Actualice Salvo a la versión 0.89.3 o superior. Esta versión corrige la vulnerabilidad de Path Traversal en el componente salvo-proxy.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33242 is a Path Traversal vulnerability in the Salvo Rust framework, allowing attackers to bypass proxy routing and access backend resources.
You are affected if you are using Salvo Rust framework versions prior to 0.89.3 and expose backend resources through the proxy.
Upgrade to Salvo Rust framework version 0.89.3 or later. Implement WAF rules to block suspicious URL patterns as a temporary mitigation.
There are currently no known reports of active exploitation campaigns for CVE-2026-33242.
Refer to the Salvo project's official release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.