CVE-2026-35174
KrytyczneStreszczenie
Chyrp Lite to ultralekki silnik blogowy. Przed wersją 2026.01 istniała podatność na traversję ścieżki w konsoli administracyjnej, która pozwalała administratorowi lub użytkownikowi z uprawnieniami do zmiany ustawień na zmianę ścieżki przesyłania plików na dowolny folder.
Ocena ryzyka
Ta podatność umożliwia użytkownikowi pobranie dowolnego pliku na serwerze, w tym pliku config.json.php z danymi uwierzytelniającymi do bazy danych oraz nadpisanie krytycznych plików systemowych, co może prowadzić do zdalnego wykonania kodu.
Rekomendacja
Zaleca się aktualizację do wersji 2026.01, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Chyrp Lite is an ultra-lightweight blogging engine. Prior to 2026.01, a path traversal vulnerability exists in the administration console that allows an administrator or a user with Change Settings permission to change the uploads path to any folder. This vulnerability allows the user to download any file on the server, including config.json.php with database credentials and overwrite critical system files, leading to remote code execution. This vulnerability is fixed in 2026.01.

