CVE-2026-58499 in EverOSthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

EverOS là một môi trường chạy bộ nhớ (memory runtime) cho các tác nhân (agents). Trước phiên bản 1.0.1, EverOS dễ bị tổn thương do lỗi điều hướng thư mục (path traversal) trong điểm cuối nhập liệu POST /api/v1/memory/add vì trường sender_id trên mỗi thông điệp không được xác thực là một định danh an toàn đối với đường dẫn, khác với app_id và project_id. Trong quá trình trích xuất dữ liệu bộ nhớ người dùng, sender_id được sử dụng làm owner_id và ghép vào đường dẫn hệ thống tệp nơi đoạn ghi nhận (episode) đã trích xuất được lưu trữ dưới dạng tệp Markdown; do đó, một sender_id chứa các chuỗi ../ có thể hướng việc ghi ra ngoài thư mục gốc của bộ nhớ đã cấu hình, cho phép người gọi chưa xác thực tạo hoặc ghi đè lên các tệp .md tại những vị trí mà tiến trình máy chủ có quyền ghi với nội dung bị ảnh hưởng một phần bởi kẻ tấn công. Vấn đề này đã được khắc phục trong phiên bản 1.0.1.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

30/06/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!