Pubblicato il 2026-07-10 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58499 è una vulnerabilità di path traversal in EverOS, una memoria runtime per agenti. Prima della versione 1.0.1, il campo sender_id non veniva validato come identificatore sicuro per il percorso, permettendo a un attaccante di creare o sovrascrivere file .md al di fuori della directory configurata. La vulnerabilità è stata risolta nella versione 1.0.1. La CVSS Score è 8.2, indicando un impatto alto. La CWE-22 è la categoria di vulnerabilità associata a questo problema.
Un attaccante può sfruttare questa vulnerabilità per creare o sovrascrivere file .md in posizioni accessibili al processo del server, con contenuto parzialmente influenzato dall'attaccante. Ciò potrebbe portare a problemi di sicurezza, come l'esecuzione di codice arbitrario o la divulgazione di informazioni sensibili. I sistemi che utilizzano EverOS e non hanno aggiornato alla versione 1.0.1 o successiva sono a rischio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare EverOS alla versione 1.0.1 o successiva. Inoltre, è importante implementare controlli di sicurezza aggiuntivi, come la validazione degli input e la limitazione dell'accesso alle directory sensibili. Se non è possibile aggiornare immediatamente, si possono implementare workaround come la limitazione dell'accesso alla directory di memoria o la monitorazione delle attività sospette.
La vulnerabilità CVE-2026-58499 è una vulnerabilità di path traversal in EverOS che permette a un attaccante di creare o sovrascrivere file .md al di fuori della directory configurata.
L'impatto della vulnerabilità è alto, con una CVSS Score di 8.2, e può portare a problemi di sicurezza come l'esecuzione di codice arbitrario o la divulgazione di informazioni sensibili.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare EverOS alla versione 1.0.1 o successiva e implementare controlli di sicurezza aggiuntivi, come la validazione degli input e la limitazione dell'accesso alle directory sensibili.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.