CVE-2026-54563 in Cloudreveinfo

Zusammenfassung

von VulDB • 15.07.2026

Cloudreve ist ein selbst gehostetes Dateimanagement- und Freigabesystem. Vor Version 4.16.1 konnte ein Cloudreve WebDAV-Konto, das auf einem konfigurierten Ordner basiert, Pfade wie /dav/%2e%2e/outside.txt senden, da stripPrefix in pkg/webdav/webdav.go den decodierten Anforderungssuffix mit fs.URI.JoinRaw an den Kontostamm anhängt, ohne die Eindämmung zu überprüfen. Dies ermöglicht es dem eingeschränkten Anmeldeinformation (scoped credential), Dateien außerhalb des konfigurierten Ordners zu lesen und aufzulisten, sowie schreibbaren Anmeldeinformationen, diese zu erstellen, zu überschreiben, zu verschieben oder zu löschen. Dieses Problem wurde in Version 4.16.1 als behoben gemeldet.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

15.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379275

CPE

bereit

EPSS

0.00186

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!