CVE-2026-53535 in Activepieces
Сводка
по VulDB • 17.07.2026
Activepieces — это платформа для автоматизации рабочих процессов на базе искусственного интеллекта с открытым исходным кодом. До версии 0.82.0 функция git-sync клонировала настроенный пользователем репозиторий Git во временную директорию на сервере, а затем записывала в нее состояние потока (flow), таблицы и соединений перед отправкой изменений обратно. Две отдельные уязвимости позволяли этим операциям записи выходить за пределы предполагаемого рабочего пространства и попадать на произвольные пути в файловой системе хоста: обработка символических ссылок Git не была отключена при клонировании, поэтому злоумышленник, контролирующий удаленный репозиторий, мог включить символические ссылки (symlinks), перенаправляющие записи; кроме того, несколько идентификаторов, предоставляемых пользователем и используемых для формирования путей на диске (slug репозитория и externalId таблиц, потоков и соединений), не проверялись на наличие последовательностей обхода директорий, таких как ../. На развертывании Enterprise Edition с самостоятельным хостингом пользователь, имеющий право конфигурировать или отправлять изменения в репозиторий git-sync (обладая разрешением WRITE_PROJECT_RELEASE), мог заставить сервер перезаписывать файлы в любом месте, куда процесс Activepieces имеет права на запись; в зависимости от структуры хоста это может быть использовано для модификации данных, отказа в обслуживании или выполнения удаленного кода. Эта проблема исправлена в версии 0.82.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.