Plataforma
linux
Componente
openharness
Corrigido em
bd4df81f634f8c7cddcc3fdf7f561a13dcbf03ae
O OpenHarness, antes do commit bd4df81f634f8c7cddcc3fdf7f561a13dcbf03ae, contém uma vulnerabilidade de bypass de permissão que permite a leitura de arquivos sensíveis. Atacantes podem explorar a normalização incompleta de caminhos no verificador de permissões para acessar arquivos confidenciais, como chaves, arquivos de configuração ou diretórios, apesar das restrições de caminho configuradas. Essa vulnerabilidade afeta versões 0.0.0–bd4df81 e foi corrigida no commit bd4df81f634f8c7cddcc3fdf7f561a13dcbf03ae.
A vulnerabilidade CVE-2026-40515 no OpenHarness, anterior ao commit bd4df81f634f8c7cddcc3fdf7f561a13dcbf03ae, apresenta uma falha de bypass de permissão. Isso permite que atacantes leiam arquivos sensíveis, explorando a normalização incompleta de caminhos no verificador de permissões. Um atacante pode invocar as ferramentas integradas grep e glob com diretórios raiz sensíveis que não são avaliados corretamente em relação às regras de caminho configuradas, permitindo a divulgação de conteúdo de arquivos locais sensíveis, material de chave, arquivos de configuração ou conteúdo de diretórios, apesar das restrições de caminho configuradas. O score CVSS é 7.5, indicando um risco alto.
Um atacante com acesso ao OpenHarness pode explorar esta vulnerabilidade executando comandos que utilizem grep ou glob com caminhos que contornem a validação de permissões. Isso pode envolver a manipulação de entradas ou configurações para forçar a execução de comandos com diretórios raiz não autorizados. A complexidade da exploração depende do nível de acesso do atacante e da configuração específica do OpenHarness. A falta de normalização adequada de caminhos permite que os atacantes acessem informações confidenciais que deveriam estar protegidas.
Organizations deploying OpenHarness in environments where sensitive data is stored locally are at risk. This includes development environments, CI/CD pipelines, and any system where OpenHarness is used to manage or process sensitive files. Specifically, deployments with relaxed path restrictions or where the root directory is accessible to OpenHarness processes are particularly vulnerable.
• linux / server:
journalctl -u openharness | grep -i "permission denied"• linux / server:
ps aux | grep -i "grep /root"• linux / server:
lsof | grep -i "/root"disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação recomendada para CVE-2026-40515 é atualizar o OpenHarness para uma versão que inclua o commit bd4df81f634f8c7cddcc3fdf7f561a13dcbf03ae ou posterior. Este commit corrige a normalização incompleta de caminhos, garantindo que as ferramentas grep e glob sejam executadas apenas dentro dos diretórios permitidos. Aplique esta atualização prontamente para evitar possíveis ataques. Consulte a documentação oficial do OpenHarness para obter instruções detalhadas de atualização. Além disso, revise suas configurações de segurança para garantir que as regras de caminho estejam corretamente definidas e restritas.
Actualice OpenHarness a la versión corregida (commit bd4df81f634f8c7cddcc3fdf7f561a13dcbf03ae) para mitigar la vulnerabilidad de bypass de permisos. Esta actualización aborda la normalización incompleta de la ruta en el verificador de permisos, evitando la divulgación de archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenHarness é uma plataforma de orquestração de testes de segurança.
Se você estiver usando uma versão do OpenHarness anterior ao commit bd4df81, seu sistema é vulnerável à divulgação de informações sensíveis.
Consulte a documentação oficial do OpenHarness para obter instruções detalhadas de atualização.
Isole o sistema afetado, revise os logs em busca de atividade suspeita e aplique a atualização de segurança o mais rápido possível.
Se você não puder atualizar imediatamente, considere restringir o acesso ao OpenHarness e revisar cuidadosamente as regras de caminho configuradas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.