Plataforma
other
Componente
crafty-controller
Corrigido em
4.8.0
Uma vulnerabilidade de Path Traversal foi descoberta no componente File Operations API Endpoint do Crafty Controller, afetando versões entre 4.7.0 e 4.8.0. Esta falha permite que um atacante autenticado execute código remotamente e manipule arquivos no sistema. A vulnerabilidade foi publicada em 30 de janeiro de 2026, e uma correção está disponível na versão 4.8.0.
A vulnerabilidade de Path Traversal no Crafty Controller permite que um atacante autenticado contorne as restrições de acesso ao sistema de arquivos. Ao explorar essa falha, um invasor pode ler, modificar ou até mesmo excluir arquivos arbitrários no servidor, potencialmente comprometendo dados confidenciais, como credenciais de usuário, chaves de API ou informações de configuração. A execução remota de código (RCE) é possível, permitindo que o atacante execute comandos no sistema com os privilégios do usuário sob o qual o Crafty Controller está sendo executado. O impacto pode ser significativo, levando à perda de dados, interrupção do serviço e comprometimento da segurança da aplicação.
A vulnerabilidade CVE-2026-0963 foi divulgada publicamente em 30 de janeiro de 2026. A severidade é classificada como CRÍTICA (CVSS 9.9), indicando um alto risco de exploração. Não há informações disponíveis sobre a inclusão em KEV ou a existência de PoCs públicas no momento da publicação. É crucial aplicar a correção ou implementar medidas de mitigação para reduzir o risco de exploração.
Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-0963 é atualizar o Crafty Controller para a versão 4.8.0, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso à API File Operations Endpoint apenas a usuários autorizados e implementar validação rigorosa de entrada para evitar a injeção de caminhos maliciosos. Monitore os logs do sistema em busca de tentativas de acesso não autorizado a arquivos e implemente regras de firewall para bloquear tráfego suspeito. Após a atualização, confirme a correção verificando se as tentativas de acesso a arquivos fora do diretório esperado são bloqueadas.
Atualize Crafty Controller para a versão 4.8.0 ou superior. Esta versão contém a correção para a vulnerabilidade de path traversal. A atualização mitigará o risco de manipulação de arquivos e execução remota de código.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-0963 is a critical vulnerability allowing authenticated attackers to manipulate files and potentially execute code via path traversal in Crafty Controller's File Operations API Endpoint.
You are affected if you are using Crafty Controller versions 4.7.0 through 4.8.0 and have not upgraded to version 4.8.0 or later.
Upgrade Crafty Controller to version 4.8.0 or later. As a temporary workaround, restrict access to the API and implement strict input validation.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Crafty Controller security advisory for detailed information and updates regarding CVE-2026-0963.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.