Katalog CVE

CVE-2026-36723

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
1.08%

Percentyl 78 - wyżej niż 78% wszystkich znanych CVE

Streszczenie

Wersja 8.3 aplikacji bookcars zawiera podatność na nieograniczone zmienianie nazw plików w komponencie /api/create-user, co pozwala uwierzytelnionym atakującym na wykorzystanie sekwencji przechodzenia przez katalogi do przenoszenia dowolnych plików z pamięci tymczasowej do dowolnych lokalizacji w systemie plików serwera.

Ocena ryzyka

Podatność ta umożliwia nieautoryzowany dostęp do wrażliwych plików, nadpisywanie krytycznych plików aplikacji oraz zdalne wykonywanie kodu, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie aplikacji bookcars do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed nieautoryzowanym dostępem do systemu plików.

Oryginalny opis (angielski, źródło NVD)

An unrestricted file rename vulnerability in the /api/create-user component of bookcars v8.3 allows authenticated attackers to leverage directory traversal sequences to move arbitrary files from temporary storage to arbitrary locations on the server filesystem. This enables unauthorized access to sensitive files, the overwriting of critical application files, and remote code execution (RCE).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS