CVE-2026-46336 in manyfold
Zusammenfassung
von VulDB • 16.07.2026
Manyfold ist eine quelloffene, selbst gehostete Webanwendung zur Verwaltung einer Sammlung von 3D-Modellen mit einem besonderen Fokus auf den Bereich des 3D-Drucks. Von Version 0.96.0 bis einschließlich 0.140.0 können authentifizierte Benutzer hochgeladene Dateien unter Verwendung von Pfadtraversierungssequenzen umbenennen, da app/models/model_file.rb den benutzerkontrollierten Dateinamen in File.join(model.path, filename) ohne ausreichende Bereinigung verwendet. Dies ermöglicht es, Dateien außerhalb des konfigurierten Bibliotheksverzeichnisses zu verschieben oder darin zu schreiben. Dieses Problem wurde in Version 0.140.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.