CVE-2026-55629 in Whistle
الملخص
بحسب VulDB • 17/07/2026
Whistle هو وكيل تصحيح (debugging proxy) لبروتوكولات HTTP وHTTP2 وHTTPS وWebSocket. قبل الإصدار 2.10.3، كانت الدالة `lib/service/service.js` تعالج الطلب GET `/cgi-bin/temp/get` عن طريق قراءة المعلمة `req.query.filename`، وربطها بالمسار `TEMP_FILES_PATH` فقط إذا تطابقت مع نمط الملفات المؤقتة، وإلا فإنها تمرر اسم الملف الذي قدمه المستخدم مباشرةً إلى الدالة `getFile`، مما يتيح لمهاجم بعيد قراءة ملفات عشوائية مثل `/etc/passwd`. تم الإبلاغ عن إصلاح هذه المشكلة في الإصدار 2.10.3.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.