CVE-2026-24129

ALT (8,1)

CVSS3: 8,1

Runtipi és un orquestrador de servidors personals basat en Docker que facilita múltiples serveis en un sol servidor. Les versions 3.7.0 i superiors permeten que un usuari autenticat executi ordres arbitràries del sistema al servidor amfitrió injectant metacaràcters de shell als noms dels fitxers de còpia de seguretat. El BackupManager no aconsegueix sanejar els noms de fitxer de les còpies de seguretat carregades. El sistema persisteix els fitxers carregats per l’usuari directament al sistema de fitxers amfitrió tot utilitzant el nom original en brut proporcionat a la sol·licitud. Això permet que un atacant prepari un fitxer que contingui metacaràcters de shell (per exemple, $(id).tar.gz) en una ruta predictible, a la qual es fa referència posteriorment durant el procés de restauració. L’emmagatzematge correcte del fitxer és el que permet que l’ordre de restauració posterior el faci referència i l’executi.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• runtipi runtipi >= 3.7.0, < 4.7.0

Remediació
Aquest problema s’ha corregit a la versió 4.7.0. Vegeu-ne les Referències.

Referències

• https://github.com/runtipi/runtipi/security/advisories/GHSA-vrgf-rcj5-6gv9
• https://github.com/runtipi/runtipi/commit/c3aa948885554a370d374692158a3bfe1cfdc85a
• https://github.com/runtipi/runtipi/releases/tag/v4.7.0
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2026/24xxx/CVE-2026-24129.json