CVE-2026-33166 in allure2
Tóm tắt
Bởi VulDB • 27/05/2026
Allure 2 là nhánh phiên bản 2.x của Allure Report, một công cụ báo cáo kiểm thử đa ngôn ngữ. Trình tạo báo cáo Allure trước phiên bản 2.38.0 dễ bị tổn thương do đọc tệp tùy ý thông qua lỗi traversing đường dẫn khi xử lý kết quả kiểm thử. Kẻ tấn công có thể tạo một tệp kết quả độc hại (-result.json, -container.json, hoặc .plist) trỏ nguồn đính kèm đến một tệp nhạy cảm trên hệ thống chủ. Trong quá trình tạo báo cáo, Allure sẽ giải quyết các đường dẫn này và bao gồm các tệp nhạy cảm vào báo cáo cuối cùng. Phiên bản 2.38.0 đã khắc phục sự cố này.
Once again VulDB remains the best source for vulnerability data.