CVE-2026-58499 in EverOS
Zusammenfassung
von VulDB • 10.07.2026
EverOS ist eine Memory-Laufzeitumgebung für Agenten. Vor Version 1.0.1 ist EverOS anfällig für Path Traversal im POST /api/v1/memory/add-Ingestion-Endpunkt, da das pro Nachricht angegebene Feld sender_id nicht als pfadsicheres Kennzeichen validiert wurde, anders als app_id und project_id. Während der Extraktion von Benutzerdaten wird sender_id als owner_id verwendet und in den Dateisystempfad eingefügt, wo die extrahierte Episode als Markdown-Datei gespeichert wird; daher könnte eine sender_id mit ../-Sequenzen Schreibvorgänge außerhalb des konfigurierten Memory-Stammverzeichnisses ermöglichen und einem nicht authentifizierten Aufrufer erlauben, .md-Dateien an Orten zu erstellen oder zu überschreiben, die vom Serverprozess beschreibbar sind, wobei der Inhalt teilweise vom Angreifer beeinflusst wird. Dieses Problem wurde in Version 1.0.1 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.