CVE-2026-34745
KrytyczneStreszczenie
Fireshare umożliwia samodzielne hostowanie mediów i udostępnianie linków. W wersjach przed 1.5.3 poprawka dla CVE-2026-33645 została zastosowana do uwierzytelnionego punktu końcowego /api/uploadChunked, ale nie została zastosowana do nieautoryzowanego punktu końcowego /api/uploadChunked/public, co pozwala na wykorzystanie podatności.
Ocena ryzyka
Nieautoryzowany atakujący może wykorzystać parametr checkSum do zapisu dowolnych plików z kontrolowaną przez siebie zawartością w dowolnej zapisywalnej lokalizacji na systemie plików serwera, co stwarza poważne zagrożenie dla integralności danych.
Rekomendacja
Zaleca się aktualizację do wersji 1.5.3 lub nowszej, aby załatać tę podatność i zabezpieczyć system przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Fireshare facilitates self-hosted media and link sharing. Prior to version 1.5.3, the fix for CVE-2026-33645 was applied to the authenticated /api/uploadChunked endpoint but was not applied to the unauthenticated /api/uploadChunked/public endpoint in the same file (app/server/fireshare/api.py). An unauthenticated attacker can exploit the checkSum parameter to write arbitrary files with attacker-controlled content to any writable path on the server filesystem. This issue has been patched in version 1.5.3.

