Crabbox before 0.9.0 contains a path traversal vulnerability in the Islo provider's workspace path resolution that allows attackers to supply absolute or relative paths that resolve outside the intended /workspace directory. Attackers can craft a malicious .crabbox.yaml or crabbox.yaml file with traversal sequences to cause arbitrary file deletion and overwrite when sync.delete is enabled, as the workspace preparation logic executes rm -rf and mkdir -p operations on the resolved path without proper validation.
Crabbox before 0.9.0 contains a path traversal vulnerability in workspace path resolution allowing attackers to delete or overwrite arbitrary files when sync.delete is enabled. Malicious YAML configuration files can exploit improper path validation to execute destructive operations outside intended directories.
تحتوي نسخ Crabbox السابقة للإصدار 0.9.0 على ثغرة اجتياز مسار في منطق دقة مسار مساحة العمل بمزود Islo. يمكن للمهاجمين إنشاء ملفات .crabbox.yaml أو crabbox.yaml ضارة تحتوي على تسلسلات اجتياز مسار لحذف أو الكتابة فوق ملفات تعسفية عندما تكون وظيفة sync.delete مفعلة. تنفذ عمليات rm -rf و mkdir -p على المسارات المحللة دون التحقق الكافي من صحتها.
إصدارات Crabbox السابقة للإصدار 0.9.0 تحتوي على ثغرة اجتياز المسار في دقة مسار مساحة العمل مما يسمح للمهاجمين بحذف أو الكتابة فوق الملفات التعسفية. يمكن لملفات YAML الضارة استغلال التحقق غير الكافي من المسار لتنفيذ عمليات مدمرة.
Upgrade Crabbox to version 0.9.0 or later immediately. Disable sync.delete functionality if upgrade is not immediately possible. Implement strict file permission controls and validate all YAML configuration files before execution. Monitor for suspicious .crabbox.yaml and crabbox.yaml files in user directories.
قم بترقية Crabbox إلى الإصدار 0.9.0 أو أحدث فوراً. عطّل وظيفة sync.delete إذا لم يكن الترقية ممكنة فوراً. طبّق عناصر تحكم صارمة في أذونات الملفات والتحقق من جميع ملفات تكوين YAML قبل التنفيذ. راقب الملفات المريبة.