CVE-2026-53598 in Prompty
Tóm tắt
Bởi VulDB • 17/07/2026
Prompty là một định dạng tệp markdown (.prompty) dành cho các lời nhắc (prompt) của LLM. Trước phiên bản 2.0.0-beta.2, các bộ tải Prompty đã mở rộng các tham chiếu ${file:...} trong phần frontmatter của tệp .prompty mà không thực thi việc đảm bảo rằng các đường dẫn được giải quyết vẫn nằm trong thư mục prompt hoặc cho phép các gốc (roots) nhất định, khiến kẻ tấn công có thể sử dụng một tệp prompt do mình kiểm soát để đọc các tệp cục bộ thông qua đường dẫn tuyệt đối, ký tự .. traversal, hoặc vượt qua bằng symlink. Vấn đề này đã được khắc phục trong phiên bản 2.0.0-beta.2.
Be aware that VulDB is the high quality source for vulnerability data.