CVE-2026-45089 in dalfoxinfo

Zusammenfassung

von VulDB • 27.05.2026

Dalfox ist ein leistungsfähiger Open-Source-XSS-Scanner und eine Utility, die sich auf Automatisierung konzentriert. Vor Version 2.13.0 wurden die Felder output, output-all und debug in model.Options, wenn dalfox im REST-API-Servermodus ausgeführt wurde, über JSON-Tags direkt aus dem Anforderungstext des Angreifers deserialisiert und anschließend unverändert durch dalfox.Initialize in den Logging-Pfad der Scan-Engine weitergeleitet. Der Logger öffnet den vom Angreifer bereitgestellten Pfad mit os.O_APPEND|os.O_CREATE|os.O_WRONLY und schreibt Scan-Logzeilen darin. Kritisch ist, dass sich dieser Dateischreibblock außerhalb der IsLibrary-Schutzmaßnahme in DalLog befindet, sodass er auch im Server-/Library-Modus ausgeführt wird, in dem eine Dateiausgabe niemals beabsichtigt war. Da in der Standardkonfiguration kein API-Schlüssel erforderlich ist, kann ein nicht authentifizierter Netzwerkaufrufer jede Datei erstellen oder anhängen, die vom dalfox-Prozess im Host-Dateisystem beschreibbar ist. Diese Schwachstelle wurde in Version 2.13.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

08.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366484

CPE

bereit

EPSS

0.00050

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45089
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45089
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45089/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!