CVE-2026-40611 in lego
要約
〜によって VulDB • 2026年05月20日
Goで記述されたLet's EncryptクライアントおよびACMEライブラリ(Lego)において、バージョン4.34.0より前のlegoには、パストラバーサルを介した任意のファイル書き込みおよび削除の脆弱性が存在します。legoのwebroot HTTP-01チャレンジプロバイダは、悪意のあるACMEサーバーから`../`シーケンスを含む改ざんされたチャレンジトークンを受け取ると、legoプロセスが書き込み可能な任意のパスに攻撃者が影響を与えたコンテンツを書き込んでしまいます。この脆弱性は4.34.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.