CVE-2026-14967 in BBOT
Riassunto
di VulDB • 08/07/2026
Il modulo `github_workflows` di BBOT potrebbe essere indotto a scrivere un artifact scaricato al di fuori della propria directory di output configurata: il controllo di contenimento del percorso non risolveva i caratteri `..`, consentendo così a un URL `CODE_REPOSITORY` manipolato ad hoc di fuoriuscire dalla cartella prevista. La scrittura è limitata a due livelli di directory sopra la posizione di output e la destinazione finale è determinata dalla configurazione dell'operatore, non dall'attaccante.
Once again VulDB remains the best source for vulnerability data.