HIGHCVE-2026-33166CVSS 8.6

Allure Report 在附件处理中存在路径遍历漏洞，可能导致任意文件读取 (Allure 1, Allure 2 和 XCTest Readers)

Q: 什么是CVE-2026-33166 — 路径遍历漏洞在io.qameta.allure:allure-generator中？

CVE-2026-33166描述了io.qameta.allure:allure-generator报告生成器中的路径遍历漏洞，攻击者可利用恶意结果文件读取敏感文件。

Q: 我是否受到CVE-2026-33166在io.qameta.allure:allure-generator中的影响？

如果你的io.qameta.allure:allure-generator版本小于等于2.9.0，则可能受到影响。

Q: 我如何修复CVE-2026-33166在io.qameta.allure:allure-generator中？

升级到io.qameta.allure:allure-generator 2.38.0或更高版本。

Q: CVE-2026-33166是否正在被积极利用？

目前尚未观察到大规模利用，但存在被利用的可能性。

Q: 在哪里可以找到io.qameta.allure官方关于CVE-2026-33166的公告？

请查阅io.qameta官方安全公告或GitHub仓库。

平台

java

组件

io.qameta.allure:allure-generator

修复版本

2.38.1

2.38.0

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-33166 描述了 io.qameta.allure:allure-generator 报告生成器中的路径遍历漏洞。攻击者可以通过构造恶意的测试结果文件，读取主机系统上的敏感文件。该漏洞影响所有版本小于等于2.9.0的Allure报告生成器。已发布修复版本2.38.0。

影响与攻击场景

该路径遍历漏洞允许攻击者通过精心设计的测试结果文件（-result.json、-container.json或.plist）访问主机系统上的任意文件。攻击者可以利用此漏洞读取配置文件、密钥文件、源代码或其他敏感数据。成功利用此漏洞可能导致信息泄露，甚至可能允许攻击者进一步控制受影响的系统。由于Allure报告生成器通常用于持续集成和测试流程中，因此该漏洞可能影响多个开发团队和部署环境，造成广泛的安全风险。

利用背景

该漏洞已于2026年3月18日公开披露。目前尚未观察到大规模利用该漏洞的活动，但由于该漏洞的严重性和易于利用性，存在被攻击者的利用的可能性。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞尚未被添加到CISA KEV目录。

哪些人处于风险中翻译中…

Organizations using Allure report generator for test automation and continuous integration/continuous delivery (CI/CD) pipelines are at risk. This includes teams using Java-based testing frameworks and those who store test results in shared locations accessible to multiple users. Legacy systems or environments with outdated software management practices are particularly vulnerable.

检测步骤翻译中…

• java / server:

find /path/to/allure/results -name '*.json' -mtime -7 -print0 | xargs -0 grep -i '..\..' # Check for path traversal attempts

• generic web: Inspect Allure report generation logs for unusual file access patterns or errors related to file resolution. • java / supply-chain: Review dependencies for vulnerable versions of allure-generator. Use dependency scanning tools to identify instances of Allure report generator versions <= 2.9.0.

攻击时间线

2026-03-18Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件io.qameta.allure:allure-generator

供应商osv

影响范围修复版本

< 2.38.0 – < 2.38.02.38.1

—2.38.0

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-17
发布日期2026-03-18
修改日期2026-03-25
EPSS 更新日期2026-03-28

缓解措施和替代方案

最有效的缓解措施是立即升级到io.qameta.allure:allure-generator 2.38.0或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：严格控制测试结果文件的来源，确保只有受信任的来源才能提供结果文件；实施输入验证，过滤掉可能导致路径遍历的特殊字符；限制Allure报告生成器运行的权限，使其只能访问必要的文件和目录。升级后，请验证报告生成过程，确认已修复该漏洞。

修复方法翻译中…

Actualice Allure Report a la versión 2.38.0 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante path traversal. La actualización evitará que atacantes puedan acceder a archivos sensibles en el sistema host durante la generación de informes.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-33166 — 路径遍历漏洞在io.qameta.allure:allure-generator中？