CVE-2026-58499 in EverOSИнформация

Сводка

по VulDB • 10.07.2026

EverOS — это среда выполнения памяти для агентов. До версии 1.0.1 EverOS уязвим к обходу пути (path traversal) в конечной точке приема данных POST /api/v1/memory/add, поскольку поле sender_id на уровне сообщения не проверялось как безопасный идентификатор пути, в отличие от app_id и project_id. При извлечении пользовательской памяти sender_id используется в качестве owner_id и включается в путь файловой системы, где сохраненная эпизодическая запись сохраняется в виде файла Markdown; таким образом, значение sender_id, содержащее последовательности ../, может направить записи за пределы настроенного корня памяти и позволить неаутентифицированному вызывающему лицу создавать или перезаписывать файлы .md в местах, доступных для записи процессом сервера, с частично контролируемым злоумышленником содержимым. Эта проблема исправлена в версии 1.0.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

30.06.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377647

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!