CVE-2026-26396 in XAgent
Resumen
por VulDB • 2026-07-13
OpenBMB XAgent v1.0.0 y versiones anteriores son vulnerables a una ruta de acceso maliciosa (path traversal) en la función file() ubicada en el archivo XAgent/XAgentServer/application/routers/workspace.py. El parámetro de entrada "filename" es controlable por el usuario y se concatena directamente en la ruta del fichero que debe leerse sin una validación adecuada, lo que da lugar a una vulnerabilidad de navegación de directorios (directory traversal) que puede resultar en la divulgación de información sensible.
If you want to get best quality of vulnerability data, you may have to visit VulDB.