Plataforma
java
Componente
io.qameta.allure:allure-generator
Corrigido em
2.38.1
2.38.0
Uma vulnerabilidade de Path Traversal foi descoberta no io.qameta.allure:allure-generator, afetando versões até 2.9.0. Um atacante pode explorar essa falha para ler arquivos sensíveis no sistema hospedeiro, inserindo caminhos maliciosos em arquivos de resultado de teste. A atualização para a versão 2.38.0 resolve a vulnerabilidade, e medidas de mitigação podem ser aplicadas enquanto a atualização não é possível.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no sistema onde o Allure Report Generator está sendo executado. Isso pode incluir arquivos de configuração, chaves privadas, ou outros dados sensíveis. O impacto potencial é alto, pois um atacante pode obter informações confidenciais que podem ser usadas para comprometer ainda mais o sistema ou a rede. A vulnerabilidade reside na forma como o Allure Report Generator resolve os caminhos dos anexos nos arquivos de resultado de teste, permitindo que um atacante manipule esses caminhos para acessar arquivos fora do diretório esperado. A falta de validação adequada da entrada do usuário torna possível a exploração.
Esta vulnerabilidade foi publicada em 2026-03-18. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público é desconhecida.
Organizations using Allure report generator for test automation and continuous integration/continuous delivery (CI/CD) pipelines are at risk. This includes teams using Java-based testing frameworks and those who store test results in shared locations accessible to multiple users. Legacy systems or environments with outdated software management practices are particularly vulnerable.
• java / server:
find /path/to/allure/results -name '*.json' -mtime -7 -print0 | xargs -0 grep -i '..\..' # Check for path traversal attempts• generic web: Inspect Allure report generation logs for unusual file access patterns or errors related to file resolution. • java / supply-chain: Review dependencies for vulnerable versions of allure-generator. Use dependency scanning tools to identify instances of Allure report generator versions <= 2.9.0.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o io.qameta.allure:allure-generator para a versão 2.38.0 ou superior. Se a atualização imediata não for possível, considere restringir o acesso aos arquivos de resultado de teste para evitar que atacantes injetem arquivos maliciosos. Implemente regras em um Web Application Firewall (WAF) ou proxy para bloquear solicitações que contenham caminhos de arquivo suspeitos. Monitore os logs do Allure Report Generator em busca de tentativas de acesso a arquivos inesperados. Não há assinaturas Sigma ou YARA padrão disponíveis, mas a análise de logs pode revelar padrões de acesso anormais.
Actualice Allure Report a la versión 2.38.0 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante path traversal. La actualización evitará que atacantes puedan acceder a archivos sensibles en el sistema host durante la generación de informes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33166 is a Path Traversal vulnerability affecting Allure report generator versions up to 2.9.0. It allows attackers to read arbitrary files from the host system by crafting malicious test result files.
You are affected if you are using Allure report generator versions 2.9.0 or earlier. Check your installed version and upgrade if necessary.
Upgrade to version 2.38.0 or later. If immediate upgrade isn't possible, implement input validation on test result files.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation suggests a potential risk.
Refer to the official io.qameta advisory for detailed information and updates: [https://github.com/allure-framework/allure-generator/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory link)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.