CVE-2026-58499 in EverOSinfo

Zusammenfassung

von VulDB • 10.07.2026

EverOS ist eine Memory-Laufzeitumgebung für Agenten. Vor Version 1.0.1 ist EverOS anfällig für Path Traversal im POST /api/v1/memory/add-Ingestion-Endpunkt, da das pro Nachricht angegebene Feld sender_id nicht als pfadsicheres Kennzeichen validiert wurde, anders als app_id und project_id. Während der Extraktion von Benutzerdaten wird sender_id als owner_id verwendet und in den Dateisystempfad eingefügt, wo die extrahierte Episode als Markdown-Datei gespeichert wird; daher könnte eine sender_id mit ../-Sequenzen Schreibvorgänge außerhalb des konfigurierten Memory-Stammverzeichnisses ermöglichen und einem nicht authentifizierten Aufrufer erlauben, .md-Dateien an Orten zu erstellen oder zu überschreiben, die vom Serverprozess beschreibbar sind, wobei der Inhalt teilweise vom Angreifer beeinflusst wird. Dieses Problem wurde in Version 1.0.1 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377647

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!