Katalog CVE

CVE-2026-54414

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.72%

Percentyl 49 — wyżej niż 49% wszystkich znanych CVE

Streszczenie

FileRise w wersjach przed 3.16.0 jest podatny na atak typu path traversal w punkcie końcowym przesyłania do folderu udostępnionego, co prowadzi do możliwości zapisu dowolnych plików oraz przejęcia konta administratora. Atakujący może wykorzystać ważny link/token do przesyłania plików, aby nadpisać pliki i uzyskać dostęp do konta administratora.

Ocena ryzyka

Organizacja narażona jest na poważne ryzyko przejęcia konta administratora oraz potencjalnego zdalnego wykonania kodu, co może prowadzić do utraty danych i naruszenia bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 3.16.0 lub nowszej, która wprowadza poprawki zabezpieczające przed tym rodzajem ataku poprzez odpowiednie dekodowanie URL przed walidacją nazwy pliku.

Oryginalny opis (angielski, źródło NVD)

FileRise before 3.16.0 is vulnerable to path traversal in the shared-folder upload endpoint (/api/folder/uploadToSharedFolder.php), leading to arbitrary file write and administrator account takeover. The upload filename is validated by FolderController with basename() and REGEX_FILE_NAME, which permit URL-encoded sequences (the regex blocks / and \ but not %). The raw filename is then passed to UploadModel::handleUpload, where it is reconstructed as trim(urldecode(basename($fileName))), re-introducing path separators after validation (e.g. ..%2fusers%2fusers.txt becomes ../users/users.txt). UploadNamePolicy::isAllowedForWrite() applies basename() internally and therefore only evaluates the final component (users.txt), allowing the traversal sequence to pass the extension policy. The destination path is then used directly in move_uploaded_file() with no realpath containment check, allowing a write outside the intended upload directory. An attacker who possesses a valid, non-expired, upload-enabled shared-folder link/token (which are designed to be shared publicly) can overwrite users/users.txt to create an administrator account, resulting in unauthenticated admin takeover and, depending on configuration, remote code execution. Exploitation requires possession of a valid, non-expired, upload-enabled shared-folder link/token. This issue is fixed in 3.16.0, which URL-decodes before validation and rejects any path separators in the upload filename.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS