CVE-2026-49144
ŚrednieCVSS 6.5Streszczenie
BrowserStack Runner w wersji do 0.9.5 zawiera podatność typu path traversal w domyślnym handlerze HTTP w pliku lib/server.js, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików. Atakujący mogą wykorzystać nieautoryzowany serwer HTTP, aby przejść poza katalog główny projektu i uzyskać dostęp do wrażliwych plików.
Ocena ryzyka
Podatność ta stwarza ryzyko ujawnienia wrażliwych danych, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą uzyskać dostęp do plików, które nie powinny być publicznie dostępne.
Rekomendacja
Zaleca się aktualizację BrowserStack Runner do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do serwera HTTP tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
BrowserStack Runner through 0.9.5 contains a path traversal vulnerability in the _default HTTP handler in lib/server.js that allows unauthenticated network-adjacent attackers to read arbitrary files. Attackers can exploit the unauthenticated HTTP server bound on all interfaces to traverse outside the project root and access sensitive files.

