CVE-2026-24897
KrytyczneStreszczenie
Erugo to platforma do udostępniania plików, która w wersjach do 0.2.14 ma lukę umożliwiającą uwierzytelnionemu użytkownikowi o niskich uprawnieniach przesyłanie dowolnych plików do wskazanej lokalizacji z powodu niewystarczającej walidacji ścieżek dostarczonych przez użytkownika. W wyniku tego atakujący może przesłać i wykonać dowolny kod na serwerze, co prowadzi do zdalnego wykonania kodu (RCE).
Ocena ryzyka
Luka ta pozwala użytkownikowi o niskich uprawnieniach na pełne przejęcie kontroli nad instancją Erugo, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.2.15, która naprawia tę lukę, oraz przeprowadzenie audytu bezpieczeństwa w celu oceny potencjalnych zagrożeń związanych z istniejącymi instancjami.
Oryginalny opis (angielski, źródło NVD)
Erugo is a self-hosted file-sharing platform. In versions up to and including 0.2.14, an authenticated low-privileged user can upload arbitrary files to any specified location due to insufficient validation of user‑supplied paths when creating shares. By specifying a writable path within the public web root, an attacker can upload and execute arbitrary code on the server, resulting in remote code execution (RCE). This vulnerability allows a low-privileged user to fully compromise the affected Erugo instance. Version 0.2.15 fixes the issue.

