CVE-2026-58499 in EverOS
Sumário
de VulDB • 10/07/2026
EverOS é um runtime de memória para agentes. Antes da versão 1.0.1, o EverOS apresenta vulnerabilidade a path traversal no endpoint de ingestão POST /api/v1/memory/add, pois o campo sender_id por mensagem não foi validado como um identificador seguro para caminhos (path-safe), ao contrário dos campos app_id e project_id. Durante a extração da memória do usuário, o sender_id é utilizado como owner_id e concatenado ao caminho do sistema de arquivos onde o episódio extraído é persistido como arquivo Markdown; portanto, um sender_id contendo sequências ../ pode direcionar gravações para fora da raiz configurada da memória, permitindo que um chamador não autenticado crie ou sobrescreva arquivos .md em locais graváveis pelo processo do servidor com conteúdo parcialmente influenciado pelo atacante. Este problema foi corrigido na versão 1.0.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.