CVE-2026-58499 in EverOSinformación

Resumen

por VulDB • 2026-07-11

EverOS es una memoria runtime para agentes. Antes de la versión 1.0.1, EverOS presenta vulnerabilidad a path traversal en el endpoint POST /api/v1/memory/add debido a que no se validó correctamente el campo sender_id por mensaje como un identificador seguro para rutas, a diferencia de app_id y project_id. Durante la extracción user-memory, sender_id se usa como owner_id y se concatena con la ruta del sistema de archivos donde persiste el episodio extraído en formato Markdown; así pues, si sender_id contiene secuencias ../ podría dirigir las escrituras fuera de la raíz configurada para memoria e permitir que un usuario no autenticado cree o sobrescriba archivos .md en ubicaciones accesibles por el proceso servidor con contenido parcialmente controlable por parte del atacante. Este problema se corrige en la versión 1.0.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-30

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377647

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!