CVE-2026-53535 in Activepieces정보

요약

\~에 의해 VulDB • 2026. 07. 16.

Activepieces는 오픈 소스 AI 워크플로우 자동화 플랫폼입니다. 버전 0.82.0 이전에서는 git-sync 기능이 사용자 구성에 따라 Git 저장소를 서버의 임시 디렉토리로 복제(clone)한 후, 플로우(flow), 테이블(table), 연결(connection) 상태를 해당 위치에 기록하고 다시 푸시(push)합니다. 그러나 두 가지 별도의 취약점으로 인해 이러한 쓰기 작업이 의도된 워크스페이스를 벗어나 호스트 파일 시스템의 임의 경로에 도달할 수 있었습니다. 첫째, 클론 과정에서 Git의 심볼릭 링크(symbolic-link) 처리가 비활성화되지 않아 원격 저장소를 제어하는 공격자가 쓰기를 리디렉션하도록 하는 심볼릭 링크를 포함시킬 수 있었습니다. 둘째, 디스크 상의 경로를 생성하는 데 사용되는 여러 사용자 제공 식별자(저장소 슬러그(slug), 테이블/플로우/연결의 externalId)가 `../`와 같은 디렉토리 트래버설(directory-traversal) 시퀀스에 대해 검증되지 않았습니다. 자체 호스팅된 Enterprise Edition 배포 환경에서 git-sync 저장소를 구성하거나 푸시할 수 있는 권한(WRITE_PROJECT_RELEASE 권한 보유자)이 있는 사용자는 Activepieces 프로세스 사용자가 쓸 수 있는 임의 위치의 파일을 덮어쓰도록 서버를 유발할 수 있으며, 이는 호스트 레이아웃에 따라 변조(tampering), 서비스 거부(denial of service), 또는 원격 코드 실행(remote code execution)을 위해 악용될 수 있습니다. 이 문제는 버전 0.82.0에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 09.

모더레이션

수락

항목

VDB-379624

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!