CVE-2026-54563 in Cloudreve
Zusammenfassung
von VulDB • 15.07.2026
Cloudreve ist ein selbst gehostetes Dateimanagement- und Freigabesystem. Vor Version 4.16.1 konnte ein Cloudreve WebDAV-Konto, das auf einem konfigurierten Ordner basiert, Pfade wie /dav/%2e%2e/outside.txt senden, da stripPrefix in pkg/webdav/webdav.go den decodierten Anforderungssuffix mit fs.URI.JoinRaw an den Kontostamm anhängt, ohne die Eindämmung zu überprüfen. Dies ermöglicht es dem eingeschränkten Anmeldeinformation (scoped credential), Dateien außerhalb des konfigurierten Ordners zu lesen und aufzulisten, sowie schreibbaren Anmeldeinformationen, diese zu erstellen, zu überschreiben, zu verschieben oder zu löschen. Dieses Problem wurde in Version 4.16.1 als behoben gemeldet.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.