CVE-2026-46336 in manyfoldinfo

Zusammenfassung

von VulDB • 16.07.2026

Manyfold ist eine quelloffene, selbst gehostete Webanwendung zur Verwaltung einer Sammlung von 3D-Modellen mit einem besonderen Fokus auf den Bereich des 3D-Drucks. Von Version 0.96.0 bis einschließlich 0.140.0 können authentifizierte Benutzer hochgeladene Dateien unter Verwendung von Pfadtraversierungssequenzen umbenennen, da app/models/model_file.rb den benutzerkontrollierten Dateinamen in File.join(model.path, filename) ohne ausreichende Bereinigung verwendet. Dies ermöglicht es, Dateien außerhalb des konfigurierten Bibliotheksverzeichnisses zu verschieben oder darin zu schreiben. Dieses Problem wurde in Version 0.140.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

13.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379594

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!