zrok: WebDAV drive backend follows symlinks outside DriveRoot, enabling host filesystem read/write — CVE-2026-42275

GitHub · GitHub · CVE-2026-42275

ID
CVE-2026-42275

Date
2026-04-26

Mis à jour
2026-05-12

Activity
2026-05-12

Source
GitHub

Fournisseur
GitHub

Risque
high

CVSS
8.7

EPSS
0.00041

Résumé

**Summary** The zrok WebDAV drive backend (davServer.Dir) restricts path traversal through lexical normalization but does not prevent symlink following. When a symbolic link inside the shared DriveRoot points to a location outside that root, remote WebDAV consumers can read files and—on shares without OS-level permission restrictions—write or overwrite files anywhere on the host filesystem accessible to the zrok…

Produit

go: github.com/openziti/zrok | go: github.com/openziti/zrok/v2

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.