CVE-2026-40611 in legoinformation

Résumé

par VulDB • 14/05/2026

Client Let's Encrypt et bibliothèque ACME écrits en Go (Lego). Avant la version 4.34.0, le fournisseur de défi HTTP-01 webroot dans lego est vulnérable à une écriture et une suppression arbitraires de fichiers via une traversée de chemin (path traversal). Un serveur ACME malveillant peut fournir un jeton de défi fabriqué contenant des séquences ../, ce qui amène lego à écrire du contenu influencé par l'attaquant dans n'importe quel chemin accessible en écriture par le processus lego. Cette vulnérabilité est corrigée dans la version 4.34.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

14/04/2026

Divulgation

21/04/2026

Modérer

accepté

Entrée

VDB-358553

CPE

prêt

CWE

CWE-22 (confirmé)

CVSS

8.8 (CNA)

EPSS

0.00054

KEV

non

Activités

très faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40611
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40611
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40611/

◂ Précédent Aperçu Suivant ▸

Do you need the next level of professionalism?

Upgrade your account now!