Katalog CVE

CVE-2026-53779

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 32 — wyżej niż 32% wszystkich znanych CVE

Streszczenie

WebP Server Go w wersji 0.14.4 zawiera podatność na przejście ścieżki w systemie Windows, która pozwala nieautoryzowanym atakującym na odczyt plików poza skonfigurowanym katalogiem IMG_PATH. Atakujący mogą wykorzystać kodowanie procentowe backslashy (%5C), aby obejść sanitizację w handler/router.go.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych danych znajdujących się na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację WebP Server Go do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak ograniczenie dostępu do plików.

Oryginalny opis (angielski, źródło NVD)

WebP Server Go through 0.14.4 contains a path traversal vulnerability on Windows that allows unauthenticated attackers to read files outside the configured IMG_PATH directory by sending requests with percent-encoded backslashes (%5C) that bypass the path.Clean() sanitization in handler/router.go. Attackers can exploit the discrepancy between Go's forward-slash-only path normalization and Windows file system APIs that treat backslashes and forward slashes as equivalent to access arbitrary files on the host filesystem accessible to the server process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS