CVE-2025-21622 in clipbucket-v5المعلومات

الملخص

بحسب VulDB • 10/06/2026

توفر ClipBucket V5 استضافة فيديو مفتوحة المصدر باستخدام PHP. أثناء سير عمل رفع صورة المستخدم (Avatar)، يمكن للمستخدم اختيار رفع وتغيير صورته في أي وقت. أثناء عملية الحذف، تتحقق ClipBucket من وجود avatar_url كمسار ملف ضمن الفرعي avatars. إذا كان مسار URL موجودًا داخل مجلد avatars، فستقوم بحذفه. لا يوجد فحص لتسلسلات تجاوز المسار (Path Traversal) في مدخلات المستخدم المقدمة (المخزنة في قاعدة البيانات باسم avatar_url)، وبالتالي يمكن تلويث المتغير النهائي $file بتسلسلات تجاوز المسار. يؤدي هذا إلى حذف ملفات خارج النطاق المقصود لمجلد avatars. تم إصلاح هذه الثغرة في الإصدار 5.5.1 - 237.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

29/12/2024

إفشاء

07/01/2025

الاعتدال

تمت الموافقة

إدخال

VDB-290569

EPSS

0.00939

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!