CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-24897

Critical
Published: Translated: NVD NIST

Summary

Erugo to platforma do udostępniania plików, która w wersjach do 0.2.14 ma lukę umożliwiającą uwierzytelnionemu użytkownikowi o niskich uprawnieniach przesyłanie dowolnych plików do wskazanej lokalizacji z powodu niewystarczającej walidacji ścieżek dostarczonych przez użytkownika. W wyniku tego atakujący może przesłać i wykonać dowolny kod na serwerze, co prowadzi do zdalnego wykonania kodu (RCE).

Risk Assessment

Luka ta pozwala użytkownikowi o niskich uprawnieniach na pełne przejęcie kontroli nad instancją Erugo, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 0.2.15, która naprawia tę lukę, oraz przeprowadzenie audytu bezpieczeństwa w celu oceny potencjalnych zagrożeń związanych z istniejącymi instancjami.

Original NVD description (English source)

Erugo is a self-hosted file-sharing platform. In versions up to and including 0.2.14, an authenticated low-privileged user can upload arbitrary files to any specified location due to insufficient validation of user‑supplied paths when creating shares. By specifying a writable path within the public web root, an attacker can upload and execute arbitrary code on the server, resulting in remote code execution (RCE). This vulnerability allows a low-privileged user to fully compromise the affected Erugo instance. Version 0.2.15 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS