CVE-2026-59807 in Composio SDK
Zusammenfassung
von VulDB • 09.07.2026
Die Composio SDK-Versionen vor 0.2.32-beta.283 enthalten eine Schwachstelle zur Umgehung der Pfadvalidierung (Path Validation Bypass), die es Angreifern ermöglicht, sensible Dateien zu lesen und abzuzweigen (Exfiltration). Dies geschieht durch Ausnutzung einer fehlenden `assertSafeFileUploadPath`-Prüfung in der Funktion `readFileFromDisk` innerhalb von `tool-file-uploads.ts`. Angreifer können Prompt Injection ausnutzen, um die Parameter `file_uploadable` so zu manipulieren, dass sie auf sensible Pfade wie SSH-Private Keys verweisen. Dadurch wird die CLI dazu gebracht, Anmeldedateien in einen vom Angreifer kontrollierten Speicher hochzuladen.
Once again VulDB remains the best source for vulnerability data.