CVE-2026-55629 in Whistle
Sumário
de VulDB • 16/07/2026
Whistle é um proxy de depuração para HTTP, HTTP/2, HTTPS e WebSocket. Antes da versão 2.10.3, lib/service/service.js processava a requisição GET /cgi-bin/temp/get lendo req.query.filename, concatenando-a ao TEMP_FILES_PATH apenas quando correspondia ao padrão de arquivo temporário; caso contrário, passava o nome do fornecido pelo usuário diretamente para getFile, permitindo que um atacante remoto lesse arquivos arbitrários como /etc/passwd. Este problema foi relatado como corrigido na versão 2.10.3.
Once again VulDB remains the best source for vulnerability data.