平台
go
组件
github.com/dagu-org/dagu
修复版本
2.0.1
1.30.4-0.20260319093346-7d07fda8f9de
CVE-2026-33344 是 Dagu 软件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意的 URL 参数,访问 DAG 目录之外的文件,可能导致敏感信息泄露或系统被篡改。该漏洞影响 Dagu 版本低于 1.30.4-0.20260319093346-7d07fda8f9de 的用户。建议立即升级至修复版本。
攻击者可以利用此路径遍历漏洞,通过在 URL 参数 {fileName} 中使用 %2F-编码的斜杠,绕过 ValidateDAGName 验证,访问 Dagu 目录之外的文件。这可能包括读取配置文件、源代码或其他敏感数据。如果攻击者能够访问具有足够权限的文件,他们甚至可以修改系统文件,导致拒绝服务或进一步的攻击。此漏洞类似于其他路径遍历漏洞,可能导致严重的安全风险,特别是当 Dagu 部署在不安全的网络环境中时。
目前,该漏洞的公开利用代码 (POC) 尚未广泛传播,但由于其相对简单的利用方式,存在被利用的风险。该漏洞已发布,并被分配了 CVSS 8.1 (高) 评级,表明其潜在影响较大。建议密切关注安全社区的动态,及时采取应对措施。
Organizations utilizing Dagu for DAG management, particularly those with publicly exposed API endpoints, are at risk. Environments with legacy Dagu configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Dagu instance also face increased risk.
• linux / server:
journalctl -u dagu -g "locateDAG" | grep -i '%2F'• generic web:
curl -I 'http://your-dagu-instance/api/dag/your-dag-name/%2e%2e%2f/etc/passwd' | grep 'HTTP/1.1 403' # Expect 403 Forbidden after patchingdisclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
为了缓解 CVE-2026-33344 漏洞,最有效的措施是立即升级到 Dagu 1.30.4-0.20260319093346-7d07fda8f9de 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤包含恶意编码斜杠的 URL 请求。此外,应审查 Dagu 的配置,确保 DAG 目录的访问权限受到严格限制。升级后,请验证 Dagu 是否正常运行,并确认路径遍历漏洞已成功修复。
Actualice Dagu a la versión 2.3.1 o superior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente los nombres de los DAG en todos los endpoints de la API.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33344 是 Dagu 软件中发现的路径遍历漏洞,允许攻击者通过 URL 参数访问 DAG 目录之外的文件。
如果您正在使用 Dagu 版本低于 1.30.4-0.20260319093346-7d07fda8f9de,则可能受到此漏洞的影响。
建议立即升级到 Dagu 1.30.4-0.20260319093346-7d07fda8f9de 或更高版本。
虽然目前尚未广泛传播公开利用代码,但由于其利用方式简单,存在被利用的风险。
请访问 Dagu 的官方网站或 GitHub 仓库,查找关于 CVE-2026-33344 的安全公告。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。