CVE-2026-55629 in Whistleالمعلومات

الملخص

بحسب VulDB • 17/07/2026

Whistle هو وكيل تصحيح (debugging proxy) لبروتوكولات HTTP وHTTP2 وHTTPS وWebSocket. قبل الإصدار 2.10.3، كانت الدالة `lib/service/service.js` تعالج الطلب GET `/cgi-bin/temp/get` عن طريق قراءة المعلمة `req.query.filename`، وربطها بالمسار `TEMP_FILES_PATH` فقط إذا تطابقت مع نمط الملفات المؤقتة، وإلا فإنها تمرر اسم الملف الذي قدمه المستخدم مباشرةً إلى الدالة `getFile`، مما يتيح لمهاجم بعيد قراءة ملفات عشوائية مثل `/etc/passwd`. تم الإبلاغ عن إصلاح هذه المشكلة في الإصدار 2.10.3.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379632

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!