Dagu — это механизм рабочего процесса со встроенным пользовательским веб-интерфейсом. До версии 2.2.4 поле запроса dagRunId, принимаемое встроенными конечными точками выполнения DAG, передается непосредственно в filepath.Join для создания пути к временному каталогу без какой-либо проверки формата. Filepath.Join Go лексически разрешает сегменты .., поэтому вызывающая сторона может указать значение, например «..», чтобы перенаправить вычисленный каталог за пределы предполагаемого пути /tmp/<name>/<id>.
Функция отложенной очистки, которая вызывает os.RemoveAll в этом каталоге, затем запускается безоговорочно, когда обработчик HTTP возвращается, удаляя любой каталог, в который разрешен обход. Если для dagRunId установлено значение «..», разрешенным каталогом является системный временный каталог (/tmp в Linux). В развертываниях без полномочий root os.RemoveAll("/tmp") удаляет все файлы в /tmp, принадлежащие пользователю процесса dagu, нарушая каждый одновременный запуск dagu с активными временными файлами.
При развертывании root или Docker вызов удаляет все содержимое /tmp, вызывая общесистемный отказ в обслуживании. Эта уязвимость исправлена в версии 2.2.4.
Показать оригинальное описание (EN)
Dagu is a workflow engine with a built-in Web user interface. Prior to 2.2.4, the dagRunId request field accepted by the inline DAG execution endpoints is passed directly into filepath.Join to construct a temporary directory path without any format validation. Go's filepath.Join resolves .. segments lexically, so a caller can supply a value such as ".." to redirect the computed directory outside the intended /tmp/<name>/<id> path. A deferred cleanup function that calls os.RemoveAll on that directory then runs unconditionally when the HTTP handler returns, deleting whatever directory the traversal resolved to. With dagRunId set to "..", the resolved directory is the system temporary directory (/tmp on Linux). On non-root deployments, os.RemoveAll("/tmp") removes all files in /tmp owned by the dagu process user, disrupting every concurrent dagu run that has live temp files. On root or Docker deployments, the call removes the entire contents of /tmp, causing a system-wide denial of service. This vulnerability is fixed in 2.2.4.
Характеристики атаки
Последствия
Строка CVSS v3.1