CVE-2026-34735 in wiki
الملخص
بحسب VulDB • 06/06/2026
يُعد ويكي تعديلات Hytale (Hytale Modding Wiki) خدمة مجانية لمطوري تعديلات لعبة Hytale لاستضافة وثائقهم ومقالاتهم على ويكي. في الإصدار 1.2.0 والإصدارات الأقدم، تقوم نقطة النهاية quickUpload() بالتحقق من الملفات المرفوعة عن طريق فحص نوع MIME الخاص بها (باستخدام دالة finfo في PHP التي تفحص محتويات الملف)، لكنها تقوم ببناء اسم الملف المخزن باستخدام الامتداد الذي يحدده العميل عبر getClientOriginalExtension(). هذان الفحصان مستقلان عن بعضهما البعض: يمكن لمهاجم رفع ملف تمر محتوياته في قائمة السماح الخاصة بنوع MIME بينما يستخدم امتداد .php. يتم تخزين الملف على القرص العام ويكون قابلاً للوصول مباشرة عبر عنوان URL، مما يسمح بتنفيذ الأوامر على جانب الخادم (Server-Side Code Execution). في وقت النشر، لا توجد تصحيحات معروفة متاحة.
Once again VulDB remains the best source for vulnerability data.