Vulnerabilidad en dagu de dagu-org (CVE-2026-33344)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

24/03/2026

Última modificación:

26/03/2026

Descripción

Dagu es un motor de flujo de trabajo con una interfaz de usuario web integrada. Desde la versión 2.0.0 hasta antes de la versión 2.3.1, la corrección para CVE-2026-27598 añadió ValidateDAGName a CreateNewDAG y reescribió generateFilePath para usar filepath.Base. Esto parcheó la ruta CREATE. Los puntos finales de la API restantes - GET, DELETE, RENAME, EXECUTE - todos pasan el parámetro de ruta URL {fileName} a locateDAG sin llamar a ValidateDAGName. Barras diagonales codificadas con %2F en el segmento {fileName} atraviesan fuera del directorio DAGs. Este problema ha sido parcheado en la versión 2.3.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno