Platform
linux
Component
sleuthkit
Opgelost in
4.14.1
CVE-2026-40024 beschrijft een Path Traversal kwetsbaarheid in The Sleuth Kit. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de beoogde herstel directory te schrijven, wat potentieel kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van The Sleuth Kit tot en met 4.14.0. Een upgrade naar versie 4.15.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om bestanden naar willekeurige locaties op het systeem te schrijven. Dit kan worden gebruikt om kwaadaardige code uit te voeren door bijvoorbeeld shell configuratiebestanden of cron entries te overschrijven. De impact is aanzienlijk, omdat een aanvaller controle over het systeem kan verkrijgen. De kwetsbaarheid is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de mogelijkheid bestaat om gevoelige systeembestanden te overschrijven en de integriteit van het systeem te compromitteren.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes, maar de publicatie van de CVE betekent dat de kwetsbaarheid potentieel kan worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig om een dergelijke exploit te ontwikkelen.
Digital forensics investigators and security analysts who utilize The Sleuth Kit for analyzing filesystem images are at risk. Specifically, those using older, unpatched versions of the tool in automated workflows or environments with limited access controls are particularly vulnerable. Shared hosting environments where multiple users have access to filesystem images are also at increased risk.
• linux / server:
journalctl -g "tsk_recover" -u the-sleuth-kit | grep -i "path traversal"• linux / server:
lsof | grep /path/to/recovery/directory/../• linux / server:
find / -name '*..*' -print 2>/dev/nulldisclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-40024 is het upgraden van The Sleuth Kit naar versie 4.15.0 of hoger. Indien een upgrade direct niet mogelijk is, kan men overwegen om de output directory van tskrecover te beperken tot een strikt gecontroleerde omgeving. Het implementeren van een Web Application Firewall (WAF) of proxy kan helpen om kwaadaardige bestandsnamen te filteren voordat ze door tskrecover worden verwerkt. Controleer de bestandsnamen die aan tsk_recover worden doorgegeven op verdachte patronen zoals /../. Na de upgrade, verifieer de correcte werking door een testfilesystem image te herstellen en te controleren of bestanden alleen in de beoogde output directory worden geschreven.
Actualizar a la versión 4.15.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. La actualización corrige la forma en que tsk_recover maneja los nombres de archivo, evitando la escritura de archivos fuera del directorio de recuperación previsto. Verificar la integridad de las imágenes de sistema de archivos antes de procesarlas con tsk_recover.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40024 is a path traversal vulnerability in The Sleuth Kit allowing attackers to write files outside the intended recovery directory, potentially leading to code execution.
You are affected if you are using The Sleuth Kit versions 0.0.0–a3f96b3bc36a8bb1a00c297f77110d4a6e7dd31b or earlier.
Upgrade to The Sleuth Kit version 4.15.0 or later to resolve the vulnerability.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official The Sleuth Kit project website and security mailing lists for updates and advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.