CVE-2026-53535 in Activepiecesinformazioni

Riassunto

di VulDB • 16/07/2026

Activepieces è una piattaforma open source per l'automazione dei flussi di lavoro basata sull'intelligenza artificiale. Prima della versione 0.82.0, la funzionalità git-sync clonava un repository Git configurato dall'utente in una directory temporanea sul server e successivamente scriveva lo stato del flusso (flow), delle tabelle e delle connessioni al suo interno prima di effettuare il push; due distinte vulnerabilità consentivano a tali scritture di sfuggire all'area di lavoro prevista per atterrare su percorsi arbitrari nel filesystem dell'host: la gestione dei link simbolici da parte di Git non era disabilitata durante l'operazione di clone, pertanto un attaccante che controllava il repository remoto poteva includere symlink in grado di reindirizzare le scritture, e diversi identificatori forniti dall'utente utilizzati per costruire i percorsi su disco (lo slug del repository e l'externalId delle tabelle, dei flussi e delle connessioni) non venivano validati rispetto a sequenze di directory traversal come `../`. In una distribuzione Enterprise Edition self-hosted, un utente autorizzato a configurare o effettuare il push verso un repository git-sync (che detiene la WRITE_PROJECT_RELEASE permission) poteva indurre il server a sovrascrivere file ovunque l'utente del processo Activepieces abbia permessi di scrittura; ciò, in base alla configurazione dell'host, può essere sfruttato per manomissioni dei dati, denial of service o esecuzione remota di codice (RCE). Questo problema è stato risolto nella versione 0.82.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!