CVE-2026-44449 in Lumiverseالمعلومات

الملخص

بحسب VulDB • 29/05/2026

Lumiverse هو تطبيق دردشة بالذكاء الاصطناعي متكامل الميزات. قبل الإصدار 0.9.7، عندما يُسبب استدعاء `toSmbPath(fullPath)` الرئيسي حدوث خطأ، يعود الأسلوب إلى تقسيم المسار باستخدام `dirname`/`basename` ويقوم فقط بالتحقق من بادئة الدليل. يتم دمج اسم الملف (basename) مباشرة في سكريبت `smbclient -c` دون أي تحقق. يفسر `smbclient` الرمز `;` كفاصل للأوامر الفرعية، والرمز `!cmd` كتهرب إلى قشرة النظام المحلي لتنفيذ `cmd` على المضيف. يؤدي مسار تكون فيه المكون الدليلي نظيفاً ولكن يحتوي اسم الملف على `"; !; echo "` إلى تنفيذ أوامر عشوائية على خادم Lumiverse. تم إصلاح هذا الثغرة في الإصدار 0.9.7.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365829

CPE

جاهز

CWE

CWE-88 (مؤكد)

CVSS

9.1 (CNA)

EPSS

0.00103

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44449
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44449
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44449/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!