Katalog CVE

CVE-2026-38993

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.84%

Percentyl 54 - wyżej niż 54% wszystkich znanych CVE

Streszczenie

Podatność typu directory traversal w komponencie Buckets systemu Cockpit w wersji 2.13.5 i wcześniejszych. Umożliwia uwierzytelnionym atakującym zapisywanie plików w dowolnych lokalizacjach w katalogu uploads oraz nadpisywanie zasobów złośliwymi wersjami.

Ocena ryzyka

Ryzyko polega na możliwości wgrania złośliwych plików przez uwierzytelnionego atakującego, co może prowadzić do przejęcia kontroli nad serwerem lub defacementu strony.

Rekomendacja

Zaleca się natychmiastową aktualizację systemu Cockpit do wersji nowszej niż 2.13.5 oraz ograniczenie uprawnień uwierzytelnionych użytkowników w komponencie Buckets.

Oryginalny opis (angielski, źródło NVD)

Cockpit 2.13.5 and earlier is vulnerable to directory traversal via the Buckets component. This vulnerability allows authenticated attackers to write files to arbitrary locations within the uploads directory or overwrite assets with malicious versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS