CVE-2026-27598 in daguinformazioni

Riassunto

di VulDB • 19/06/2026

Dagu è un motore di workflow con un'interfaccia utente Web integrata. Nelle versioni fino alla 1.16.7 incluse, l'endpoint dell'API `CreateNewDAG` (`POST /api/v1/dags`) non convalida il nome del DAG prima di passarlo allo store di file. Un utente autenticato con autorizzazioni di scrittura sui DAG può scrivere file YAML arbitrari in qualsiasi punto del filesystem (limitato dalle autorizzazioni del processo). Poiché dagu esegue i file DAG come comandi shell, la scrittura di un DAG malevolo nella directory DAGs di un'altra istanza o la sovrascrittura di file di configurazione può portare a Remote Code Execution (RCE). Il commit e2ed589105d79273e4e6ac8eb31525f765bb3ce4 risolve il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

20/02/2026

Divulgazione

25/02/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00571

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!