Platform
go
Component
github.com/dagu-org/dagu
Opgelost in
2.0.1
1.30.4-0.20260319093346-7d07fda8f9de
CVE-2026-33344 beschrijft een Path Traversal kwetsbaarheid in Dagu, een Go-gebaseerd project. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot bestanden buiten de toegestane DAGs directory door middel van manipulatie van de {fileName} URL parameter. De kwetsbaarheid is verholpen in versie 1.30.4-0.20260319093346-7d07fda8f9de en gebruikers wordt aangeraden om zo snel mogelijk te upgraden.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem waarop Dagu draait. Dit omvat potentieel configuratiebestanden, logbestanden of andere data die door de applicatie worden gebruikt. Een aanvaller kan deze bestanden downloaden, bekijken of zelfs wijzigen, wat kan resulteren in data-inbreuk, compromittering van de server of verdere toegang tot het netwerk. De kwetsbaarheid treedt op omdat de API endpoints (GET, DELETE, RENAME, EXECUTE) de {fileName} URL parameter doorgeven aan locateDAG zonder de ValidateDAGName functie aan te roepen, waardoor de mogelijkheid ontstaat om directory traversal te gebruiken.
Op het moment van publicatie (2026-03-19) is er geen informatie beschikbaar over actieve exploitatiecampagnes gerelateerd aan CVE-2026-33344. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De complexiteit van de exploitatie wordt als laag beschouwd, aangezien het relatief eenvoudig is om een geëncodeerd pad te construeren.
Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.
• linux / server:
journalctl -u dagu -g "locateDAG" | grep -i '%2F'• generic web:
curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patchingdisclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33344 is het upgraden naar versie 1.30.4-0.20260319093346-7d07fda8f9de of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die requests filtert met %2F-encoded forward slashes in de {fileName} parameter. Daarnaast kan het configureren van de Dagu applicatie om te draaien in een sandbox omgeving met beperkte rechten de impact van een succesvolle exploitatie verminderen. Na de upgrade, verifieer de fix door te proberen een bestand buiten de DAGs directory te benaderen via een GET request met een geëncodeerde pad parameter. De request zou moeten falen met een 403 Forbidden error.
Actualice Dagu a la versión 2.3.1 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente los nombres de los DAG en todos los endpoints de la API.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33344 is a Path Traversal vulnerability affecting Dagu versions before 1.30.4-0.20260319093346-7d07fda8f9de, allowing attackers to access files outside the intended directory.
If you are running Dagu versions prior to 1.30.4-0.20260319093346-7d07fda8f9de, you are potentially affected by this vulnerability.
Upgrade Dagu to version 1.30.4-0.20260319093346-7d07fda8f9de or later. Consider WAF rules as a temporary mitigation.
There are currently no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the Dagu project's official repository and release notes for the advisory and patch details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.