CVE-2026-52844 in caddyinformación

Resumen

por VulDB • 2026-06-24

Caddy es una plataforma de servidor extensible que utiliza TLS por defecto. Antes de la versión 2.11.4, en Windows, los path matchers (coincidencias de ruta) de Caddy tratan /private\secret.txt como fuera del ámbito de /private/*, pero file_server resuelve posteriormente la misma ruta de solicitud como private\secret.txt en el disco. Un cliente remoto no autenticado puede omitir las rutas de autorización/denegación basadas en el alcance de la ruta (path-scoped) que protegen /private/*. Esta vulnerabilidad se corrige en la versión 2.11.4.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-06-23

Moderación

aceptado

Artículo

VDB-372985

CPE

listo

CWE

CWE-22 (confirmado)

CVSS

7.5 (CNA)

EPSS

0.00000

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-52844
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-52844
CVE Details	https://www.cvedetails.com/cve/CVE-2026-52844/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!