CVE-2026-12568
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
17/06/2026
Última modificación:
22/06/2026
Descripción
*** Pendiente de traducción *** The postman_download module uses the workspace name field from the Postman API to construct the local directory path without sanitization. If a malicious workspace has a name containing path traversal characters, pathlib resolves the path outside the intended output directory, allowing an attacker to write arbitrary files to the user's system.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA



