CVE-2026-49144
MediumCVSS 6.5Summary
BrowserStack Runner w wersji do 0.9.5 zawiera podatność typu path traversal w domyślnym handlerze HTTP w pliku lib/server.js, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików. Atakujący mogą wykorzystać nieautoryzowany serwer HTTP, aby przejść poza katalog główny projektu i uzyskać dostęp do wrażliwych plików.
Risk Assessment
Podatność ta stwarza ryzyko ujawnienia wrażliwych danych, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą uzyskać dostęp do plików, które nie powinny być publicznie dostępne.
Recommendation
Zaleca się aktualizację BrowserStack Runner do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do serwera HTTP tylko do zaufanych adresów IP.
Original NVD description (English source)
BrowserStack Runner through 0.9.5 contains a path traversal vulnerability in the _default HTTP handler in lib/server.js that allows unauthenticated network-adjacent attackers to read arbitrary files. Attackers can exploit the unauthenticated HTTP server bound on all interfaces to traverse outside the project root and access sensitive files.

