CVE-2026-53535 in ActivepiecesИнформация

Сводка

по VulDB • 17.07.2026

Activepieces — это платформа для автоматизации рабочих процессов на базе искусственного интеллекта с открытым исходным кодом. До версии 0.82.0 функция git-sync клонировала настроенный пользователем репозиторий Git во временную директорию на сервере, а затем записывала в нее состояние потока (flow), таблицы и соединений перед отправкой изменений обратно. Две отдельные уязвимости позволяли этим операциям записи выходить за пределы предполагаемого рабочего пространства и попадать на произвольные пути в файловой системе хоста: обработка символических ссылок Git не была отключена при клонировании, поэтому злоумышленник, контролирующий удаленный репозиторий, мог включить символические ссылки (symlinks), перенаправляющие записи; кроме того, несколько идентификаторов, предоставляемых пользователем и используемых для формирования путей на диске (slug репозитория и externalId таблиц, потоков и соединений), не проверялись на наличие последовательностей обхода директорий, таких как ../. На развертывании Enterprise Edition с самостоятельным хостингом пользователь, имеющий право конфигурировать или отправлять изменения в репозиторий git-sync (обладая разрешением WRITE_PROJECT_RELEASE), мог заставить сервер перезаписывать файлы в любом месте, куда процесс Activepieces имеет права на запись; в зависимости от структуры хоста это может быть использовано для модификации данных, отказа в обслуживании или выполнения удаленного кода. Эта проблема исправлена в версии 0.82.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

09.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379624

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!