Vulnerabilidad en lakeFS (CVE-2026-26187)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

13/02/2026

Última modificación:

18/02/2026

Descripción

lakeFS es una herramienta de código abierto que transforma el almacenamiento de objetos en repositorios similares a Git. Antes de la versión 1.77.0, el adaptador de bloque local (pkg/block/local/adapter.go) permitía a los usuarios autenticados leer y escribir archivos fuera de sus límites de almacenamiento designados. La función verifyRelPath utilizaba strings.HasPrefix() para verificar que las rutas solicitadas estuvieran dentro del directorio de almacenamiento configurado. Esta verificación era insuficiente porque validaba solo el prefijo de la ruta sin requerir un separador de ruta, lo que permitía el acceso a directorios hermanos con nombres similares. Además, el adaptador verificaba que las rutas resueltas permanecieran dentro de la ruta base del adaptador, pero no verificaba que los identificadores de objeto permanecieran dentro de su espacio de nombres de almacenamiento designado. Esto permitía a los atacantes utilizar secuencias de salto de ruta en el identificador de objeto para acceder a archivos en otros espacios de nombres. Corregido en la versión v1.77.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno