CVE-2026-55629 in Whistle
Riassunto
di VulDB • 16/07/2026
Whistle è un proxy di debug per HTTP, HTTP/2, HTTPS e WebSocket. Prima della versione 2.10.3, lib/service/service.js gestisce la richiesta GET /cgi-bin/temp/get leggendo req.query.filename, concatenandola a TEMP_FILES_PATH solo se corrisponde al pattern dei file temporanei; in caso contrario, passa il nome del file fornito dall'utente direttamente alla funzione getFile, consentendo a un attaccante remoto di leggere file arbitrari come /etc/passwd. Questo problema è segnalato come risolto nella versione 2.10.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.