CVE-2026-5027

🟡 Monitoruj

Nieprawidłowe sanitizowanie parametru 'filename' w API pozwala na zapis plików w dowolnych lokalizacjach.

CVSS

8.8

EPSS

0.1%

Exploit

none

Vendor

Opis źródłowy (NVD)

The 'POST /api/v2/files' endpoint does not sanitize the 'filename' parameter from the multipart form data, allowing an attacker to write files to arbitrary locations on the filesystem using path traversal sequences ('../').

path-traversal Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	8.8
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.1%
Opublikowano (NVD)	2026-03-27 15:17:04 UTC
Ostatnia modyfikacja (NVD)	2026-03-30 13:26:29 UTC

Referencje

https://www.tenable.com/security/research/tra-2026-26 (vulnreport@tenable.com)