CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49144

MediumCVSS 6.5
Published: Updated: Translated: NVD NIST

Summary

BrowserStack Runner w wersji do 0.9.5 zawiera podatność typu path traversal w domyślnym handlerze HTTP w pliku lib/server.js, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików. Atakujący mogą wykorzystać nieautoryzowany serwer HTTP, aby przejść poza katalog główny projektu i uzyskać dostęp do wrażliwych plików.

Risk Assessment

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą uzyskać dostęp do plików, które nie powinny być publicznie dostępne.

Recommendation

Zaleca się aktualizację BrowserStack Runner do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do serwera HTTP tylko do zaufanych adresów IP.

Original NVD description (English source)

BrowserStack Runner through 0.9.5 contains a path traversal vulnerability in the _default HTTP handler in lib/server.js that allows unauthenticated network-adjacent attackers to read arbitrary files. Attackers can exploit the unauthenticated HTTP server bound on all interfaces to traverse outside the project root and access sensitive files.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS