CVE-2026-36723
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 78 - wyżej niż 78% wszystkich znanych CVE
Streszczenie
Wersja 8.3 aplikacji bookcars zawiera podatność na nieograniczone zmienianie nazw plików w komponencie /api/create-user, co pozwala uwierzytelnionym atakującym na wykorzystanie sekwencji przechodzenia przez katalogi do przenoszenia dowolnych plików z pamięci tymczasowej do dowolnych lokalizacji w systemie plików serwera.
Ocena ryzyka
Podatność ta umożliwia nieautoryzowany dostęp do wrażliwych plików, nadpisywanie krytycznych plików aplikacji oraz zdalne wykonywanie kodu, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie aplikacji bookcars do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed nieautoryzowanym dostępem do systemu plików.
Oryginalny opis (angielski, źródło NVD)
An unrestricted file rename vulnerability in the /api/create-user component of bookcars v8.3 allows authenticated attackers to leverage directory traversal sequences to move arbitrary files from temporary storage to arbitrary locations on the server filesystem. This enables unauthorized access to sensitive files, the overwriting of critical application files, and remote code execution (RCE).

