CVE-2026-36760
CriticalSummary
W wersji 5.15.1 JeeSite występuje problem z parametrem fileMd5 w punkcie końcowym /a/file/upload, który pozwala uwierzytelnionym atakującym z uprawnieniami do przesyłania plików na wykonanie ataku typu path traversal. Umożliwia to zapisanie dowolnych plików z dozwolonymi rozszerzeniami w dowolnych lokalizacjach systemu plików, gdy przesyłanie w kawałkach jest włączone.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do umieszczania złośliwych plików w systemie, co może prowadzić do dalszych ataków na infrastrukturę organizacji. Może to również narazić poufność danych oraz integralność systemu.
Recommendation
Zaleca się zaktualizowanie JeeSite do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć uprawnienia do przesyłania plików oraz monitorować logi w celu wykrycia potencjalnych prób wykorzystania tej luki.
Original NVD description (English source)
An issue in the fileMd5 parameter in the /a/file/upload endpoint of JeeSite v5.15.1 allows authenticated attackers with file upload permissions to execute a path traversal and write arbitrary files with whitelisted suffixes to arbitrary filesystem locations while chunked upload is enabled.

