CVE-2026-32733 in halloy情報

要約

〜によって VulDB • 2026年06月02日

HalloyはRustで書かれたIRCアプリケーションです。コミット 0f77b2cfc5f822517a256ea5a4b94bad8bfe38b6 より前では、DCC受信フローにおいて、着信する `DCC SEND` リクエストからのファイル名がサニタイズされていませんでした。リモートのIRCユーザーは `../../.ssh/authorized_keys` のようなパストラバーサルシーケンスを含むファイル名を送信でき、そのファイルはユーザーが設定した `save_directory` の外部に書き込まれていました。自動受信(auto-accept)が有効な場合、これは被害者からのゼロインタラクションで実現可能でした。コミット 0f77b2cfc5f822517a256ea5a4b94bad8bfe38b6 以降、すべての特定されたコードパスは、共有の `sanitize_filename` 関数を通じてファイル名をサニタイズするようになりました。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

GitHub M

予約する

2026年03月13日

モデレーション

承諾済み

エントリ

VDB-352260

EPSS

0.00024

KEV

いいえ

アクティビティ

非常低い

セクター

Energy, Government, ...

ソース

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32733
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32733
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32733/

概要

Interested in the pricing of exploits?

See the underground prices here!