Katalog CVE

CVE-2026-58372

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.77%

Percentyl 51 — wyżej niż 51% wszystkich znanych CVE

Streszczenie

SeaweedFS przed wersją 4.34 zawiera podatność na przechodzenie po ścieżkach w handlerze DeleteMultipleObjectsHandler bramy S3. Uwierzytelniony podmiot S3 z prawem zapisu do jednego zasobnika może usunąć dowolne obiekty w zasobnikach innych dzierżawców, podając klucze obiektów zawierające sekwencje ../ w treści żądania XML DeleteObjects.

Ocena ryzyka

Atakujący może ominąć kontrolę autoryzacji i usunąć dane w innych zasobnikach, co prowadzi do naruszenia integralności danych i potencjalnej utraty informacji. Podatność wynika z błędnego założenia, że walidacja ścieżki w URL-u jest wystarczająca, podczas gdy klucze w treści żądania nie są sprawdzane.

Rekomendacja

Należy niezwłocznie zaktualizować SeaweedFS do wersji 4.34 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do bramy S3 tylko do zaufanych podmiotów i monitorować żądania DeleteObjects pod kątem podejrzanych sekwencji ścieżek.

Oryginalny opis (angielski, źródło NVD)

SeaweedFS before 4.34 contains a path traversal vulnerability in the S3 gateway DeleteMultipleObjectsHandler that allows authenticated S3 principals with write access to a single bucket to delete arbitrary objects in other tenants' buckets by supplying object keys containing ../ sequences in the DeleteObjects XML request body. Attackers can bypass authorization controls through a confused deputy condition, as the validateRequestPath middleware only inspects URL-captured path variables and never examines request-body keys, allowing the filer path to collapse directory traversal sequences and resolve deletions outside the authorized bucket.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS