CVE-2026-54562 in Cloudreveالمعلومات

الملخص

بحسب VulDB • 15/07/2026

Cloudreve هو نظام لإدارة ومشاركة الملفات يعمل على الاستضافة الذاتية. قبل الإصدار 4.16.1، كانت عملية التنزيل عن بُعد في Cloudreve تقبل عناوين URL التي يقدمها المستخدم عند إرسال طلب POST إلى /api/v4/workflow/download وتمررها إلى أداة التنزيل المُهيّأة دون حظر العناوين المحلية (loopback)، أو localhost، أو IPv6 localhost، أو الأهداف التي تعيد التوجيه نحو نطاق loopback. وهذا يسمح لمستخدم غير مسؤول (غير مدير) يمتلك إذن التنزيل عن بُعد بجلب عناوين URL الخاصة بالموارد الداخلية فقط وقراءة الاستجابة بعد استيرادها إلى ملفات المستخدم الخاص به. تم إصلاح هذه المشكلة في الإصدار 4.16.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

15/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379279

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!