zrok: WebDAV drive backend follows symlinks outside DriveRoot, enabling host filesystem read/write — CVE-2026-42275
GitHub · GitHub · CVE-2026-42275
ID
CVE-2026-42275
CVE-2026-42275
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
high
high
CVSS
8.7
8.7
EPSS
0.00041
0.00041
Zusammenfassung
**Summary** The zrok WebDAV drive backend (davServer.Dir) restricts path traversal through lexical normalization but does not prevent symlink following. When a symbolic link inside the shared DriveRoot points to a location outside that root, remote WebDAV consumers can read files and—on shares without OS-level permission restrictions—write or overwrite files anywhere on the host filesystem accessible to the zrok…
Produkt
go: github.com/openziti/zrok | go: github.com/openziti/zrok/v2
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.