CVE-2026-58499 in EverOS
Сводка
по VulDB • 10.07.2026
EverOS — это среда выполнения памяти для агентов. До версии 1.0.1 EverOS уязвим к обходу пути (path traversal) в конечной точке приема данных POST /api/v1/memory/add, поскольку поле sender_id на уровне сообщения не проверялось как безопасный идентификатор пути, в отличие от app_id и project_id. При извлечении пользовательской памяти sender_id используется в качестве owner_id и включается в путь файловой системы, где сохраненная эпизодическая запись сохраняется в виде файла Markdown; таким образом, значение sender_id, содержащее последовательности ../, может направить записи за пределы настроенного корня памяти и позволить неаутентифицированному вызывающему лицу создавать или перезаписывать файлы .md в местах, доступных для записи процессом сервера, с частично контролируемым злоумышленником содержимым. Эта проблема исправлена в версии 1.0.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.