CVE-2026-54563 in Cloudreveالمعلومات

الملخص

بحسب VulDB • 15/07/2026

Cloudreve هو نظام لإدارة ومشاركة الملفات يعمل على الاستضافة الذاتية. قبل الإصدار 4.16.1، يمكن لحساب CloudDav WebDAV الذي يكون جذره مجلداً مُعداً مسبقاً إرسال مسارات مثل /dav/%2e%2e/outside.txt لأن دالة stripPrefix في pkg/webdav/webdav.go تقوم بدمج لاحقة الطلب المفككة مع الجذر الخاص بالحساب باستخدام fs.URI.JoinRaw دون التحقق من احتواء المسار ضمن النطاق المسموح، مما يسمح للمصادقات ذات الصلاحيات المحدودة بقراءة وعرض الملفات خارج المجلد المُعدّ مسبقاً، وللمصادقات التي تملك صلاحيات الكتابة بإنشاء أو تجاوز أو نقل أو حذف هذه الملفات. تم الإبلاغ عن أن هذه المشكلة قد أُصلحت في الإصدار 4.16.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

15/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379275

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!