Dagu — это механизм рабочего процесса со встроенным пользовательским веб-интерфейсом. Начиная с версии 2.0.0 и до версии 2.3.1, исправление для CVE-2026-27598 добавляло ValidateDAGName в CreateNewDAG и переписывалgenerateFilePath для использования filepath.Base. Это исправило путь CREATE.
Остальные конечные точки API — GET, DELETE, RENAME, EXECUTE — передают параметр пути URL-адреса {fileName} в LocationDAG без вызова ValidateDAGName. Косая черта в кодировке %2F в сегменте {fileName} выходит за пределы каталога DAG. Эта проблема исправлена в версии 2.3.1.
Показать оригинальное описание (EN)
Dagu is a workflow engine with a built-in Web user interface. From version 2.0.0 to before version 2.3.1, the fix for CVE-2026-27598 added ValidateDAGName to CreateNewDAG and rewrote generateFilePath to use filepath.Base. This patched the CREATE path. The remaining API endpoints - GET, DELETE, RENAME, EXECUTE - all pass the {fileName} URL path parameter to locateDAG without calling ValidateDAGName. %2F-encoded forward slashes in the {fileName} segment traverse outside the DAGs directory. This issue has been patched in version 2.3.1.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dagu Dagu
cpe:2.3:a:dagu:dagu:*:*:*:*:*:*:*:*
|
2.0.0
|
2.3.1
|