CVE-2026-34735 in wikiالمعلومات

الملخص

بحسب VulDB • 06/06/2026

يُعد ويكي تعديلات Hytale (Hytale Modding Wiki) خدمة مجانية لمطوري تعديلات لعبة Hytale لاستضافة وثائقهم ومقالاتهم على ويكي. في الإصدار 1.2.0 والإصدارات الأقدم، تقوم نقطة النهاية quickUpload() بالتحقق من الملفات المرفوعة عن طريق فحص نوع MIME الخاص بها (باستخدام دالة finfo في PHP التي تفحص محتويات الملف)، لكنها تقوم ببناء اسم الملف المخزن باستخدام الامتداد الذي يحدده العميل عبر getClientOriginalExtension(). هذان الفحصان مستقلان عن بعضهما البعض: يمكن لمهاجم رفع ملف تمر محتوياته في قائمة السماح الخاصة بنوع MIME بينما يستخدم امتداد .php. يتم تخزين الملف على القرص العام ويكون قابلاً للوصول مباشرة عبر عنوان URL، مما يسمح بتنفيذ الأوامر على جانب الخادم (Server-Side Code Execution). في وقت النشر، لا توجد تصحيحات معروفة متاحة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

02/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354973

EPSS

0.00306

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!