CVE-2026-58499 in EverOS
요약
\~에 의해 VulDB • 2026. 07. 11.
EverOS는 에이전트를 위한 메모리 런타임입니다. 버전 1.0.1 이전의 EverOS에는 경로 순회(Path Traversal) 취약점이 존재합니다. 이는 POST /api/v1/memory/add ingestion 엔드포인트에서 per-message sender_id 필드가 app_id 및 project_id와 달리 경로 안전 식별자로 검증되지 않았기 때문입니다. 사용자-메모리 추출 과정에서 sender_id는 owner_id로 사용되며, 추출된 에피소드가 마크다운 파일로 저장되는 파일 시스템 경로에 결합됩니다. 따라서 ../ 시퀀스를 포함하는 sender_id를 사용하면 구성된 메모리 루트 외부로의 작성이 가능해지며, 인증되지 않은 호출자가 서버 프로세스가 쓰기 가능한 위치에 공격자의 영향을 부분적으로 받은 콘텐츠와 함께 .md 파일을 생성하거나 덮어쓸 수 있습니다. 이 문제는 버전 1.0.1에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.