CVE-2026-55677
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Echo, framework webowy w Go, zawiera podatność polegającą na niezgodności w dekodowaniu ścieżek URL między routerem a handlerem plików statycznych. Router dopasowuje trasy na podstawie surowej, zakodowanej ścieżki (zachowując %2F jako takie), podczas gdy StaticDirectoryHandler dekoduje %2F na / przed rozwiązaniem ścieżek systemu plików. Umożliwia to atakującemu ominięcie kontroli dostępu na poziomie tras i odczytanie plików statycznych bez autoryzacji.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do plików statycznych, które powinny być chronione przez reguły routingu, co może prowadzić do wycieku poufnych danych.
Rekomendacja
Należy niezwłocznie zaktualizować framework Echo do wersji 4.15.3 lub 5.2.0, które zawierają poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Echo is a Go web framework. Prior to 4.15.3 and 5.2.0, Echo's router and static file handler disagree on URL path decoding. The router matches routes using the raw encoded path (preserving %2F as-is), while StaticDirectoryHandler unescapes %2F to / before resolving filesystem paths. This allows an attacker to bypass route-level access controls and read static files without authorization. This vulnerability is fixed in 4.15.3 and 5.2.0.

