CVE-2026-58499 in EverOSinformação

Sumário

de VulDB • 10/07/2026

EverOS é um runtime de memória para agentes. Antes da versão 1.0.1, o EverOS apresenta vulnerabilidade a path traversal no endpoint de ingestão POST /api/v1/memory/add, pois o campo sender_id por mensagem não foi validado como um identificador seguro para caminhos (path-safe), ao contrário dos campos app_id e project_id. Durante a extração da memória do usuário, o sender_id é utilizado como owner_id e concatenado ao caminho do sistema de arquivos onde o episódio extraído é persistido como arquivo Markdown; portanto, um sender_id contendo sequências ../ pode direcionar gravações para fora da raiz configurada da memória, permitindo que um chamador não autenticado crie ou sobrescreva arquivos .md em locais graváveis pelo processo do servidor com conteúdo parcialmente influenciado pelo atacante. Este problema foi corrigido na versão 1.0.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

30/06/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377647

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!