CVE-2026-33071 in FileRiseinfo

Zusammenfassung

von VulDB • 09.05.2026

FileRise ist ein selbst gehosteter Web-Dateimanager / WebDAV-Server. In Versionen vor 3.8.0 akzeptiert der WebDAV-Upload-Endpunkt beliebige Dateierweiterungen, einschließlich .phtml, .php5, .htaccess und anderer serverseitig ausführbarer Typen, wodurch die durch den regulären Upload-Pfad erzwungene Dateinamenvalidierung umgangen wird. In Nicht-Standard-Deployments ohne den LocationMatch-Schutz von Apache führt dies zu Remote Code Execution (RCE). Wenn Dateien über WebDAV hochgeladen werden, akzeptieren die Methode createFile() in FileRiseDirectory.php und die Methode put() in FileRiseFile.php den Dateinamen direkt vom WebDAV-Client ohne jegliche Validierung. Im Gegensatz dazu validiert der reguläre Upload-Endpunkt in UploadModel::upload() Dateinamen gegen REGEX_FILE_NAME. Dieses Problem wurde in Version 3.8.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

20.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352035

CPE

bereit

CWE

CWE-434 (bestätigt)

CVSS

8.8 (NVD)

EPSS

0.00072

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33071
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33071
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33071/

◂ Zurück Übersicht Weiter ▸

Do you know our Splunk app?

Download it now for free!