CRITICAL🇬🇧 English

CVE-2026-27897

Path Traversal i brak uwierzytelnienia w Vociferous — zapis dowolnych plików

CVSS 10.0v3.1pub. 2026-03-11upd. 2026-03-20

Aplikacja Vociferous do transkrypcji mowy na tekst zawiera krytyczną podatność path traversal w nieuwierzytelnionym endpointcie API, umożliwiającą zapis dowolnych danych w dowolnym miejscu systemu plików. Brak walidacji nazwy pliku oraz nadmiernie permisywna konfiguracja CORS pozwala zewnętrznemu atakującemu na ominięcie interfejsu użytkownika i bezpośrednie wywołanie podatnej funkcji.

Pokaż oryginał (EN)

Vociferous provides cross-platform, offline speech-to-text with local AI refinement. Prior to 4.4.2, the vulnerability exists in src/api/system.py within the export_file route. The application accepts a JSON payload containing a filename and content. While the developer intended for a native UI dialog to handle the file path, the API does not validate the filename string before it is processed by the backends filesystem logic. Because the API is unauthenticated and the CORS configuration in app.py is overly permissive (allow_origins=["*"] or allowing localhost), an external attacker can bypass the UI entirely. By using directory traversal sequences (../), an attacker can force the app to write arbitrary data to any location accessible by the current user's permissions. This vulnerability is fixed in 4.4.2.

🤖 Analiza AI
Jak działa

Podatność znajduje się w pliku src/api/system.py, w trasie export_file, która przyjmuje ładunek JSON zawierający nazwę pliku oraz jego zawartość. Aplikacja nie weryfikuje przekazanej nazwy pliku przed przekazaniem jej do logiki systemu plików. Ponieważ endpoint nie wymaga uwierzytelnienia, a konfiguracja CORS w app.py jest nadmiernie otwarta (allow_origins=["*"] lub localhost), atakujący może ominąć interfejs użytkownika i bezpośrednio wywołać API. Używając sekwencji path traversal (../), atakujący może wymusić na aplikacji zapis dowolnych danych w dowolnej lokalizacji dostępnej dla uprawnień bieżącego użytkownika.

Skutki

Atakujący może zapisać dowolną zawartość w dowolnym miejscu systemu plików dostępnym dla procesu aplikacji, co może prowadzić do nadpisania krytycznych plików systemowych lub konfiguracyjnych, wstrzyknięcia złośliwego kodu oraz przejęcia kontroli nad systemem.

Mitygacja

Należy zaktualizować Vociferous do wersji 4.4.2, w której podatność została naprawiona. Dodatkowo zaleca się ograniczenie dostępu sieciowego do API aplikacji oraz weryfikację konfiguracji CORS.

Kogo dotyczy

Vociferous w wersjach wcześniejszych niż 4.4.2 (producent: WanderingAstronomer)

Uwagi

Podatność obejmuje dwie klasy błędów: CWE-22 (path traversal) oraz CWE-306 (brak uwierzytelnienia dla krytycznej funkcji). Pełny wynik CVSS wynosi 10.0, jednak CISA KEV nie odnotowała aktywnego wykorzystania w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Wanderingastronomer Vociferous

    APP
    Wanderingastronomer
    < 4.4.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje