Plataforma
other
Componente
openviking
Corrigido em
0.2.2
Uma vulnerabilidade de Path Traversal foi descoberta em OpenViking nas versões 0.2.1 e anteriores. Esta falha permite que atacantes escrevam arquivos fora do diretório de importação pretendido, explorando a manipulação de arquivos .ovpack. A correção foi implementada no commit 46b3e76, e a atualização para esta versão é recomendada para mitigar o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no sistema OpenViking com os privilégios do processo de importação. Isso pode levar à modificação de arquivos de configuração críticos, instalação de malware ou até mesmo à tomada de controle completa do servidor. A capacidade de escrever arquivos fora do diretório de importação abre uma vasta gama de possibilidades para o atacante, permitindo a manipulação de dados e a comprometimento da integridade do sistema. A ausência de validação adequada dos nomes dos arquivos dentro dos arquivos ZIP importados é a causa raiz da vulnerabilidade.
Esta vulnerabilidade foi publicada em 2026-03-03. Não há informações disponíveis sobre a adição a KEV ou a existência de PoCs públicas. A probabilidade de exploração é considerada baixa devido à falta de informações adicionais, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para atacantes.
Organizations and individuals utilizing OpenViking for package management or deployment are at risk. This includes environments where .ovpack files are imported from untrusted sources or where the OpenViking process runs with elevated privileges. Shared hosting environments where multiple users share the same OpenViking instance are particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão corrigida do OpenViking, contendo o commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Em ambientes onde a atualização imediata não é possível, considere implementar restrições de acesso ao diretório de importação para limitar o impacto potencial de uma exploração. Além disso, a implementação de um sistema de detecção de intrusão (IDS) com regras para identificar tentativas de escrita de arquivos fora do diretório esperado pode fornecer uma camada adicional de proteção. Após a atualização, confirme a correção verificando se os arquivos .ovpack não podem mais ser utilizados para escrever arquivos fora do diretório de importação.
Actualice OpenViking a la versión posterior al commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Esto corrige la vulnerabilidad de path traversal al importar archivos .ovpack. Asegúrese de obtener la actualización desde la fuente oficial de Volcengine.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28518 is a Path Traversal vulnerability affecting OpenViking versions 0.2.1 and earlier, allowing attackers to write files outside the intended import directory via crafted ZIP archives.
You are affected if you are using OpenViking versions 0.2.1 or earlier. Upgrade to commit 46b3e76e28b9b3eee73693720c9ec48820228b72 to mitigate the risk.
Upgrade OpenViking to commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Implement input validation and restrict file write permissions as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the OpenViking project's official communication channels and repository for the latest advisory regarding CVE-2026-28518.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.