Katalog CVE

CVE-2026-56124

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

phpUploader przed wersją 2.0.2 zawiera nieuwierzytelnioną podatność na ujawnienie informacji, która pozwala zdalnym atakującym na dostęp do pełnej zawartości tabeli bazy danych przesłanych plików poprzez odwiedzenie dowolnej strony aplikacji. Model indeksu wykonuje nieograniczone zapytanie SELECT i osadza kompletny zestaw wyników zakodowany w JSON w bloku skryptu inline, ujawniając adresy IP przesyłającego, skróty kluczy Argon2ID, wewnętrzne nazwy plików oraz odciski palców SHA-256.

Ocena ryzyka

Ryzyko dla organizacji polega na wycieku wrażliwych danych, takich jak adresy IP użytkowników, skróty haseł oraz metadane plików, co może prowadzić do naruszenia prywatności i dalszych ataków. Atakujący nie wymaga uwierzytelnienia, co zwiększa prawdopodobieństwo eksploatacji.

Rekomendacja

Zaleca się natychmiastową aktualizację phpUploader do wersji 2.0.2 lub nowszej, która usuwa tę podatność. Należy również ograniczyć dostęp do aplikacji oraz przejrzeć logi pod kątem potencjalnych prób wykorzystania luki.

Oryginalny opis (angielski, źródło NVD)

phpUploader before 2.0.2 contains an unauthenticated information disclosure vulnerability that allows remote attackers to access the full contents of the uploaded-files database table by visiting any page of the application. The index model executes an unbounded SELECT query and embeds the complete JSON-encoded result set in an inline script block, exposing uploader IP addresses, Argon2ID key hashes, internal filenames, and SHA-256 fingerprints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS