Plataforma
go
Componente
github.com/treeverse/lakefs
Corrigido em
1.77.1
1.77.0
Uma vulnerabilidade de Path Traversal foi descoberta em lakeFS, uma plataforma de gerenciamento de dados. Essa falha permite que atacantes acessem arquivos e diretórios fora do escopo pretendido, potencialmente expondo dados confidenciais ou comprometendo a integridade do sistema. A vulnerabilidade afeta versões anteriores a 1.77.0 e pode ser explorada para obter acesso não autorizado a recursos dentro do ambiente lakeFS. A correção foi lançada na versão 1.77.0.
A vulnerabilidade de Path Traversal em lakeFS permite que um atacante contorne as restrições de acesso e acesse arquivos e diretórios que não deveriam estar acessíveis. Isso pode levar à exposição de informações sensíveis, como credenciais de acesso, dados de configuração ou informações confidenciais armazenadas no sistema. Um atacante pode explorar essa falha para ler, modificar ou até mesmo excluir dados, comprometendo a integridade e a confidencialidade do ambiente lakeFS. A exploração bem-sucedida pode permitir o acesso a dados em diferentes namespaces e diretórios irmãos, ampliando o potencial impacto. A ausência de validação adequada de caminhos de arquivo possibilita a manipulação de solicitações para acessar recursos fora do diretório esperado.
A vulnerabilidade CVE-2026-26187 foi divulgada em 17 de fevereiro de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há Proof-of-Concept (PoC) publicamente disponíveis, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a essa vulnerabilidade.
Organizations using lakeFS for data lake management, particularly those with multi-tenant deployments or shared namespaces, are at increased risk. Legacy lakeFS configurations with relaxed access controls are also more vulnerable. Teams relying on lakeFS for sensitive data storage should prioritize patching.
• go / application: Inspect lakeFS configuration files for unusual path entries. Monitor lakeFS logs for suspicious file access attempts, particularly those involving .. sequences.
find /opt/lakefs/ -path "*/..*" -print• generic web: Monitor access logs for requests containing path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check response headers for unexpected file disclosures.
• generic web: Use curl to probe for directory traversal:
curl -v 'http://your-lakefs-instance/../../../../etc/passwd' 2>&1 | grep 'HTTP/1.1 200 OK'disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-26187 é atualizar para a versão 1.77.0 do lakeFS, que inclui a correção para essa falha. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à API do lakeFS, implementar controles de acesso mais rigorosos e monitorar o sistema em busca de atividades suspeitas. Revise as configurações de permissões para garantir que os usuários tenham apenas o acesso necessário. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com caracteres de path traversal (../) pode oferecer uma camada adicional de proteção. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar um arquivo fora do diretório esperado e confirmando que o acesso é negado.
Actualice lakeFS a la versión 1.77.0 o superior. Esta versión corrige la vulnerabilidad de path traversal en el adaptador de bloques local, impidiendo el acceso no autorizado a archivos fuera de los límites de almacenamiento designados. La actualización asegura que las rutas solicitadas se validen correctamente y que los identificadores de objetos permanezcan dentro de sus namespaces designados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-26187 is a Path Traversal vulnerability in lakeFS versions before 1.77.0, allowing unauthorized access to files and directories.
You are affected if you are running lakeFS versions prior to 1.77.0. Check your lakeFS version and upgrade immediately if necessary.
Upgrade to lakeFS version 1.77.0 or later to patch the vulnerability. Consider stricter access controls as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is considered exploitable.
Refer to the lakeFS security advisories on their official website or GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.