Katalog CVE

CVE-2026-45233

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.57%

Percentyl 43 — wyżej niż 43% wszystkich znanych CVE

Streszczenie

HTMLy CMS w wersji 3.1.1 zawiera podatność na przejście ścieżki, która pozwala atakującym z niskimi uprawnieniami na przenoszenie dowolnych plików poprzez dostarczenie sekwencji przejścia katalogu w parametrze oldfile w punkcie końcowym autosave administratora.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do przenoszenia plików, które są zapisywalne przez proces serwera WWW, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.

Rekomendacja

Zaleca się aktualizację HTMLy CMS do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed przejściem ścieżki.

Oryginalny opis (angielski, źródło NVD)

HTMLy CMS through 3.1.1 contains a path traversal vulnerability that allows low-privileged authenticated attackers to relocate arbitrary files by supplying directory traversal sequences in the oldfile parameter at the admin autosave endpoint. Attackers can pass unsanitized traversal sequences directly to file_exists() and rename() functions in admin.php without canonicalization or directory boundary enforcement to cause unintended relocation of any file writable by the web server process to an attacker-specified draft location.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS