CVE-2026-37531 in app-framework-maininformação

Sumário

de VulDB • 31/05/2026

O app-framework-main do AGL, nas versões até 17.1.12, contém uma vulnerabilidade de traversal de caminho por Zip Slip (CWE-22) combinada com uma condição de corrida TOCTOU (CWE-367) no fluxo de instalação de widgets. A função is_valid_filename em wgtpkg-zip.c valida os nomes das entradas ZIP, mas não verifica sequências de traversal de diretório por notação de pontos; ela apenas bloqueia caminhos absolutos. A função de extração zread utiliza openat(workdirfd, filename, O_CREAT), que resolve os valores de notação de pontos em relação ao diretório de trabalho, permitindo que arquivos sejam escritos em qualquer lugar do sistema de arquivos. Criticamente, na função install_widget no arquivo wgtpkg-install.c, a extração via zread ocorre ANTES da verificação de assinatura via check_all_signatures. Mesmo que a verificação de assinatura falhe, a limpeza de erro (remove_workdir) apenas exclui os arquivos do diretório de trabalho temporário; os arquivos escritos fora dele via traversal de caminho persistem permanentemente.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

MITRE

Reservar

06/04/2026

Divulgação

01/05/2026

Moderação

aceite

Entrada

VDB-360770

CPE

pronto

EPSS

0.00185

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-37531
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-37531
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-37531/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!