Vulnerabilities ›

CVE-2026-32847

High ⚡ Exploit Available

CWE-22 — Weakness Type

                    Published: May 28, 2026                      ·  Modified: Jun 4, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

DeepCode through commit c991dc2 contains a path traversal vulnerability in the SPA catch-all route in new_ui/backend/main.py that allows unauthenticated attackers to read arbitrary files by supplying percent-encoded path segments to the GET /{full_path:path} endpoint. Attackers can bypass Starlette's path normalization by encoding slashes as %2F and dots as %2E%2E, causing the joined path to traverse outside FRONTEND_DIST and exposing sensitive files such as SSH private keys, TLS certificates, and application secrets with a single HTTP request.

🤖 AI Executive Summary

DeepCode contains a path traversal vulnerability in its SPA catch-all route that allows unauthenticated attackers to read arbitrary files by using percent-encoded path segments. Attackers can bypass path normalization to access sensitive files like SSH keys, TLS certificates, and application secrets.

📄 Description (Arabic)

تحتوي ثغرة اجتياز المسار في DeepCode على نقطة ضعف في نقطة نهاية GET /{full_path:path} حيث يمكن للمهاجمين استخدام الترميز بنسبة مئوية (%2F للشرطة المائلة و%2E%2E للنقاط) لتجاوز آليات تطبيع Starlette. يؤدي هذا إلى الوصول غير المصرح إلى ملفات حساسة خارج دليل FRONTEND_DIST بما في ذلك مفاتيح SSH الخاصة وشهادات TLS وأسرار التطبيق. الهجوم لا يتطلب مصادقة ويمكن تنفيذه برسالة HTTP واحدة.

🤖 ملخص تنفيذي (AI)

DeepCode يحتوي على ثغرة اجتياز المسار في مسار SPA catch-all التي تسمح للمهاجمين غير المصرحين بقراءة ملفات عشوائية باستخدام مقاطع مسار مشفرة بنسبة مئوية. يمكن للمهاجمين تجاوز تطبيع المسار للوصول إلى ملفات حساسة مثل مفاتيح SSH وشهادات TLS وأسرار التطبيق.

🤖 AI Intelligence Analysis Analyzed: Jun 2, 2026 18:04

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1083 T1552 T1190 T1566

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update DeepCode to a patched version beyond commit c991dc2. Implement strict input validation and path canonicalization before file access. Use allowlist-based access control for the catch-all route. Deploy Web Application Firewall rules to detect and block percent-encoded path traversal attempts. Restrict file system permissions to limit exposure of sensitive files.

🔧 خطوات المعالجة (العربية)

قم بتحديث DeepCode إلى إصدار مصحح بعد الالتزام c991dc2. قم بتنفيذ التحقق الصارم من المدخلات وتطبيع المسار قبل الوصول إلى الملفات. استخدم التحكم في الوصول المستند إلى قائمة السماح لمسار catch-all. نشر قواعد جدار حماية تطبيقات الويب لاكتشاف وحظر محاولات اجتياز المسار المشفرة بنسبة مئوية. تقييد أذونات نظام الملفات لتقليل تعريض الملفات الحساسة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.2.2

🔵 SAMA CSF

AC-2 AC-3 AC-6 SI-4

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.4.3 A.14.2.1

🔗 References & Sources 2

🔗

https://github.com/HKUDS/DeepCode/issues/126

disclosure@vulncheck.com

Exploit Issue Tracking

🔗

https://www.vulncheck.com/advisories/deepcode-path-traversal-via-spa-catch-all-route-in...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

hkuds:deepcode

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-22

EPSS0.08%

Exploit ✓ Yes

Patch ✗ No

Published 2026-05-28

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-32847

Introduce Yourself

Sign In Required