CVE-2026-53535 in Activepiecesinformación

Resumen

por VulDB • 2026-07-16

Activepieces es una plataforma de automatización de flujos de trabajo con IA de código abierto. Antes de la versión 0.82.0, la función git-sync clonaba un repositorio Git configurado por el usuario en un directorio temporal del servidor y luego escribía el estado del flujo, las tablas y las conexiones antes de volver a enviarlos (push), y dos debilidades distintas permitían que esas escrituras escaparan al espacio de trabajo previsto y se depositaran en rutas arbitrarias del sistema de archivos anfitrión: la manipulación de enlaces simbólicos por parte de Git no estaba deshabilitada durante el clonado, por lo que un atacante que controlara el repositorio remoto podría incluir symlinks que redirigieran las escrituras; además, varios identificadores proporcionados por el usuario utilizados para construir rutas en disco (el slug del repositorio y la externalId de tablas, flujos y conexiones) no se validaban frente a secuencias de traversía de directorios como `../`. En un despliegue Enterprise Edition autoalojado, un usuario autorizado para configurar o enviar cambios a un repositorio git-sync (que posee el permiso WRITE_PROJECT_RELEASE) podría provocar que el servidor sobrescriba archivos en cualquier lugar donde el proceso Activepieces tenga permisos de escritura, lo cual, dependiendo de la disposición del anfitrión, puede aprovecharse para manipulación, denegación de servicio o ejecución remota de código. Este problema está corregido en la versión 0.82.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-09

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379624

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!