CVE-2026-54563 in Cloudreve
الملخص
بحسب VulDB • 15/07/2026
Cloudreve هو نظام لإدارة ومشاركة الملفات يعمل على الاستضافة الذاتية. قبل الإصدار 4.16.1، يمكن لحساب CloudDav WebDAV الذي يكون جذره مجلداً مُعداً مسبقاً إرسال مسارات مثل /dav/%2e%2e/outside.txt لأن دالة stripPrefix في pkg/webdav/webdav.go تقوم بدمج لاحقة الطلب المفككة مع الجذر الخاص بالحساب باستخدام fs.URI.JoinRaw دون التحقق من احتواء المسار ضمن النطاق المسموح، مما يسمح للمصادقات ذات الصلاحيات المحدودة بقراءة وعرض الملفات خارج المجلد المُعدّ مسبقاً، وللمصادقات التي تملك صلاحيات الكتابة بإنشاء أو تجاوز أو نقل أو حذف هذه الملفات. تم الإبلاغ عن أن هذه المشكلة قد أُصلحت في الإصدار 4.16.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.