Plataforma
go
Componente
github.com/dagu-org/dagu
Corrigido em
2.0.1
1.30.4-0.20260319093346-7d07fda8f9de
A vulnerabilidade CVE-2026-33344 é um problema de Path Traversal descoberto em Dagu, uma ferramenta de automação de segurança. Um atacante pode explorar essa falha para acessar arquivos fora do diretório DAGs, potencialmente obtendo informações confidenciais ou executando código malicioso. A vulnerabilidade afeta versões anteriores a 1.30.4-0.20260319093346-7d07fda8f9de, e uma correção foi lançada.
A exploração bem-sucedida de CVE-2026-33344 permite que um atacante leia arquivos arbitrários no sistema de arquivos do servidor onde o Dagu está em execução. Isso pode incluir arquivos de configuração, chaves de API, ou até mesmo código-fonte. O impacto potencial é alto, pois um atacante pode obter acesso a informações sensíveis e comprometer a integridade do sistema. A ausência de validação adequada do caminho em endpoints cruciais como GET, DELETE, RENAME e EXECUTE, permite a injeção de sequências como '%2F' para navegar para diretórios fora do escopo esperado. Essa vulnerabilidade se assemelha a outros casos de Path Traversal onde a falta de sanitização de entrada leva a acesso não autorizado.
A vulnerabilidade foi publicada em 2026-03-19. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.
• linux / server:
journalctl -u dagu -g "locateDAG" | grep -i '%2F'• generic web:
curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patchingdisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33344 é atualizar para a versão 1.30.4-0.20260319093346-7d07fda8f9de ou superior do Dagu. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede ao Dagu apenas a fontes confiáveis. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações contendo sequências de Path Traversal (como '%2F') pode fornecer uma camada adicional de proteção. Monitore os logs do Dagu em busca de tentativas de acesso a arquivos fora do diretório DAGs.
Actualice Dagu a la versión 2.3.1 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente los nombres de los DAG en todos los endpoints de la API.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33344 is a Path Traversal vulnerability affecting Dagu versions before 1.30.4-0.20260319093346-7d07fda8f9de, allowing attackers to access files outside the intended directory.
If you are running Dagu versions prior to 1.30.4-0.20260319093346-7d07fda8f9de, you are potentially affected by this vulnerability.
Upgrade Dagu to version 1.30.4-0.20260319093346-7d07fda8f9de or later. Consider WAF rules as a temporary mitigation.
There are currently no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the Dagu project's official repository and release notes for the advisory and patch details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.