CVE-2026-58372
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 51 — wyżej niż 51% wszystkich znanych CVE
Streszczenie
SeaweedFS przed wersją 4.34 zawiera podatność na przechodzenie po ścieżkach w handlerze DeleteMultipleObjectsHandler bramy S3. Uwierzytelniony podmiot S3 z prawem zapisu do jednego zasobnika może usunąć dowolne obiekty w zasobnikach innych dzierżawców, podając klucze obiektów zawierające sekwencje ../ w treści żądania XML DeleteObjects.
Ocena ryzyka
Atakujący może ominąć kontrolę autoryzacji i usunąć dane w innych zasobnikach, co prowadzi do naruszenia integralności danych i potencjalnej utraty informacji. Podatność wynika z błędnego założenia, że walidacja ścieżki w URL-u jest wystarczająca, podczas gdy klucze w treści żądania nie są sprawdzane.
Rekomendacja
Należy niezwłocznie zaktualizować SeaweedFS do wersji 4.34 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do bramy S3 tylko do zaufanych podmiotów i monitorować żądania DeleteObjects pod kątem podejrzanych sekwencji ścieżek.
Oryginalny opis (angielski, źródło NVD)
SeaweedFS before 4.34 contains a path traversal vulnerability in the S3 gateway DeleteMultipleObjectsHandler that allows authenticated S3 principals with write access to a single bucket to delete arbitrary objects in other tenants' buckets by supplying object keys containing ../ sequences in the DeleteObjects XML request body. Attackers can bypass authorization controls through a confused deputy condition, as the validateRequestPath middleware only inspects URL-captured path variables and never examines request-body keys, allowing the filer path to collapse directory traversal sequences and resolve deletions outside the authorized bucket.

