Allure 2 is the version 2.x branch of Allure Report, a multi-language test reporting tool. The Allure report generator prior to version 2.38.0 is vulnerable to an arbitrary file read via path traversal when processing test results. An attacker can craft a malicious result file (-result.json, -container.json, or .plist) that points an attachment source to a sensitive file on the host system. During report generation, Allure will resolve these paths and include the sensitive files in the final report. Version 2.38.0 fixes the issue.

Allure 2 es la rama 2.x de Allure Report, una herramienta de informes de pruebas multilenguaje. El generador de informes de Allure anterior a la versión 2.38.0 es vulnerable a una lectura de archivo arbitraria mediante salto de ruta al procesar los resultados de las pruebas. Un atacante puede crear un archivo de resultados malicioso (-result.json, -container.json o .plist) que apunte una fuente de adjunto a un archivo sensible en el sistema anfitrión. Durante la generación del informe, Allure resolverá estas rutas e incluirá los archivos sensibles en el informe final. La versión 2.38.0 corrige el problema.