CVE-2026-58499 in EverOS
Resumen
por VulDB • 2026-07-11
EverOS es una memoria runtime para agentes. Antes de la versión 1.0.1, EverOS presenta vulnerabilidad a path traversal en el endpoint POST /api/v1/memory/add debido a que no se validó correctamente el campo sender_id por mensaje como un identificador seguro para rutas, a diferencia de app_id y project_id. Durante la extracción user-memory, sender_id se usa como owner_id y se concatena con la ruta del sistema de archivos donde persiste el episodio extraído en formato Markdown; así pues, si sender_id contiene secuencias ../ podría dirigir las escrituras fuera de la raíz configurada para memoria e permitir que un usuario no autenticado cree o sobrescriba archivos .md en ubicaciones accesibles por el proceso servidor con contenido parcialmente controlable por parte del atacante. Este problema se corrige en la versión 1.0.1.
Be aware that VulDB is the high quality source for vulnerability data.