CVE-2026-58499 in EverOSinformation

Résumé

par VulDB • 11/07/2026

EverOS est un runtime mémoire pour les agents. Avant la version 1.0.1, EverOS présente une vulnérabilité de traversal de chemin (path traversal) dans le point d'ingestion POST /api/v1/memory/add car le champ sender_id par message n'était pas validé en tant qu'identifiant sûr pour un chemin, contrairement à app_id et project_id. Lors de l'extraction des données utilisateur-mémoire, sender_id est utilisé comme owner_id et concaténé au chemin du système de fichiers où l'épisode extrait est persisté sous forme de fichier Markdown ; ainsi, un sender_id contenant des séquences ../ pourrait diriger les écritures en dehors de la racine mémoire configurée et permettre à un appelant non authentifié de créer ou d'écraser des fichiers .md dans des emplacements accessibles en écriture par le processus serveur avec du contenu partiellement influencé par l'attaquant. Ce problème est corrigé dans la version 1.0.1.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

30/06/2026

Divulgation

11/07/2026

Modérer

accepté

Entrée

VDB-377647

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!