CVE-2026-45721
KrytyczneStreszczenie
Algernon to mały, samodzielny serwer WWW napisany w Go. W wersjach przed 1.17.7, gdy serwer otrzymuje żądanie URL, które prowadzi do katalogu bez pliku indeksu, przeszukuje on katalogi nadrzędne w poszukiwaniu pliku handler.lua, co może prowadzić do wykonania zdalnego kodu.
Ocena ryzyka
Organizacja jest narażona na ryzyko zdalnego wykonania kodu bez uwierzytelnienia, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację serwera Algernon do wersji 1.17.7 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
Algernon is a small self-contained pure-Go web server. Prior to 1.17.7, when Algernon is asked for any URL path that resolves to a directory without an index file, DirPage walks upward through parent directories — past the configured server root — looking for a file named handler.lua to execute as the request handler. The loop terminates only after 100 ancestor steps or when filepath.Dir returns ., so on any absolute server-root path the search reaches the filesystem root (/ on Unix, drive letter on Windows). The first handler.lua it finds is loaded into the Lua interpreter with the full Algernon API exposed — including run3(), httpclient, os.execute, io.popen, PQ, MSSQL, raw filesystem access, and the userstate database. Any process that can write handler.lua anywhere in a parent directory of the server root obtains pre-authenticated remote code execution on the next HTTP request. This is reachable without authentication — the lookup happens before the permission check returns a hit (

