Katalog CVE

CVE-2026-52844

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

Caddy przed wersją 2.11.4 na Windows nieprawidłowo obsługuje separatory ścieżek w matcherach ścieżek, co pozwala ominąć ochronę dostępu do katalogów. Niezautoryzowany atakujący zdalnie może uzyskać dostęp do chronionych zasobów.

Ocena ryzyka

Ryzyko polega na możliwości ominięcia mechanizmów uwierzytelniania i blokowania dostępu do chronionych ścieżek, co może prowadzić do wycieku poufnych danych lub nieautoryzowanego dostępu do systemu.

Rekomendacja

Należy natychmiast zaktualizować Caddy do wersji 2.11.4 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Caddy is an extensible server platform that uses TLS by default. Prior to 2.11.4, on Windows, Caddy path matchers treat /private\secret.txt as outside /private/*, but file_server later resolves the same request path as private\secret.txt on disk. An unauthenticated remote client can bypass Caddy path-scoped auth/deny routes protecting /private/*. This vulnerability is fixed in 2.11.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS