CVE-2026-47277
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Runtipi w wersjach 4.9.1 do 4.9.3 umożliwia odczyt dowolnych plików przez nieautoryzowany punkt końcowy, co prowadzi do ujawnienia lokalnych plików z kontenera Runtipi. Problem wynika z niewłaściwego sprawdzania ścieżek dla symbolicznych linków w repozytoriach aplikacji.
Ocena ryzyka
Organizacja może być narażona na ujawnienie wrażliwych danych, takich jak sekrety JWT, dane uwierzytelniające usług oraz lokalne konfiguracje, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Runtipi do wersji 4.10.0, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
Runtipi is a personal homeserver orchestrator. In versions 4.9.1 through 4.9.3, Runtipi serves marketplace app logos from files inside cloned app-store repositories through an unauthenticated endpoint, which leads to arbitrary file read through app-store logo symlinks. The path guard checks only the lexical path before Node reads the file, so a Git app store that contains metadata/logo.jpg as a symbolic link can cause Runtipi to read and return the symlink target. Because the endpoint is public and the symlink target may point outside the cloned repository, this can expose local files from the Runtipi container such as /data/.env, /data/state/seed, logs, or application files. This can disclose JWT secrets, service credentials, local configuration, and operational logs depending on the instance. The issue has been fixed in version 4.10.0.

