Vulnerabilidad en dagu de dagu-org (CVE-2026-31886)

Dagu es un motor de flujo de trabajo con una interfaz de usuario web integrada. Antes de la versión 2.2.4, el campo de solicitud dagRunId aceptado por los puntos finales de ejecución de DAG en línea se pasa directamente a filepath.Join para construir una ruta de directorio temporal sin ninguna validación de formato. filepath.Join de Go resuelve los segmentos '..' léxicamente, por lo que un llamador puede proporcionar un valor como '..' para redirigir el directorio calculado fuera de la ruta prevista /tmp//. Una función de limpieza diferida que llama a os.RemoveAll en ese directorio se ejecuta incondicionalmente cuando el gestor HTTP regresa, eliminando cualquier directorio al que se resolvió el recorrido. Con dagRunId establecido en '..', el directorio resuelto es el directorio temporal del sistema (/tmp en Linux). En despliegues sin privilegios de root, os.RemoveAll('/tmp') elimina todos los archivos en /tmp propiedad del usuario del proceso dagu, interrumpiendo cada ejecución concurrente de dagu que tiene archivos temporales activos. En despliegues con privilegios de root o Docker, la llamada elimina todo el contenido de /tmp, causando una denegación de servicio a nivel de sistema. Esta vulnerabilidad se corrige en la versión 2.2.4.