CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-35174

Critical
Published: Translated: NVD NIST

Summary

Chyrp Lite to ultralekki silnik blogowy. Przed wersją 2026.01 istniała podatność na traversję ścieżki w konsoli administracyjnej, która pozwalała administratorowi lub użytkownikowi z uprawnieniami do zmiany ustawień na zmianę ścieżki przesyłania plików na dowolny folder.

Risk Assessment

Ta podatność umożliwia użytkownikowi pobranie dowolnego pliku na serwerze, w tym pliku config.json.php z danymi uwierzytelniającymi do bazy danych oraz nadpisanie krytycznych plików systemowych, co może prowadzić do zdalnego wykonania kodu.

Recommendation

Zaleca się aktualizację do wersji 2026.01, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

Chyrp Lite is an ultra-lightweight blogging engine. Prior to 2026.01, a path traversal vulnerability exists in the administration console that allows an administrator or a user with Change Settings permission to change the uploads path to any folder. This vulnerability allows the user to download any file on the server, including config.json.php with database credentials and overwrite critical system files, leading to remote code execution. This vulnerability is fixed in 2026.01.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS