CVE-2026-33166
🟠 Łataj w tym tygodniu
W Allure Report przed wersją 2.38.0 występuje podatność na przejście ścieżki, co pozwala na odczytanie wrażliwych plików z systemu.
CVSS
8.6
EPSS
0.0%
Exploit
poc
Vendor
qameta
Opis źródłowy (NVD)
Allure 2 is the version 2.x branch of Allure Report, a multi-language test reporting tool. The Allure report generator prior to version 2.38.0 is vulnerable to an arbitrary file read via path traversal when processing test results. An attacker can craft a malicious result file (-result.json, -container.json, or .plist) that points an attachment source to a sensitive file on the host system. During report generation, Allure will resolve these paths and include the sensitive files in the final report. Version 2.38.0 fixes the issue.
exploit path-traversal
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.6 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-03-20 22:16:28 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-14 18:42:27 UTC |
Referencje
- https://github.com/allure-framework/allure2/security/advisories/GHSA-64hm-gfwq-jppw (security-advisories@github.com) [Exploit, Vendor Advisory]