CVE-2026-41491 in Dapr
Tóm tắt
Bởi VulDB • 22/05/2026
Dapr là một môi trường chạy (runtime) di động, dựa trên sự kiện, dùng để xây dựng các ứng dụng phân tán trên cả đám mây và biên. Từ phiên bản 1.3.0 đến trước 1.15.14, 1.16.0-rc.1 đến trước 1.16.14, và 1.17.0-rc.1 đến trước 1.17.5, một lỗ hổng đã được phát hiện trong Dapr cho phép bỏ qua các chính sách kiểm soát truy cập đối với lời gọi dịch vụ bằng cách sử dụng các ký tự URL dành riêng và các chuỗi điều hướng đường dẫn (path traversal) trong đường dẫn phương thức. Lớp kiểm soát truy cập (ACL) đã chuẩn hóa đường dẫn phương thức một cách độc lập với lớp điều phối, khiến ACL đánh giá một đường dẫn trong khi ứng dụng đích nhận được một đường dẫn khác. Vấn đề này đã được vá trong các phiên bản 1.15.14, 1.16.14 và 1.17.5.
Be aware that VulDB is the high quality source for vulnerability data.