Katalog CVE

CVE-2026-36760

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersji 5.15.1 JeeSite występuje problem z parametrem fileMd5 w punkcie końcowym /a/file/upload, który pozwala uwierzytelnionym atakującym z uprawnieniami do przesyłania plików na wykonanie ataku typu path traversal. Umożliwia to zapisanie dowolnych plików z dozwolonymi rozszerzeniami w dowolnych lokalizacjach systemu plików, gdy przesyłanie w kawałkach jest włączone.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do umieszczania złośliwych plików w systemie, co może prowadzić do dalszych ataków na infrastrukturę organizacji. Może to również narazić poufność danych oraz integralność systemu.

Rekomendacja

Zaleca się zaktualizowanie JeeSite do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć uprawnienia do przesyłania plików oraz monitorować logi w celu wykrycia potencjalnych prób wykorzystania tej luki.

Oryginalny opis (angielski, źródło NVD)

An issue in the fileMd5 parameter in the /a/file/upload endpoint of JeeSite v5.15.1 allows authenticated attackers with file upload permissions to execute a path traversal and write arbitrary files with whitelisted suffixes to arbitrary filesystem locations while chunked upload is enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS