zhblue hustoj bis 26.01.23 ZIP File problem_import_qduoj Directory Traversal
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Zusammenfassung
Eine als kritisch eingestufte Schwachstelle wurde in zhblue hustoj bis 26.01.23 festgestellt. Es ist betroffen die Funktion problem_import_qduoj der Komponente ZIP File Handler. Durch Manipulation mit unbekannten Daten kann eine Directory Traversal-Schwachstelle ausgenutzt werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2026-24479 vorgenommen. Es ist möglich, den Angriff aus der Ferne durchzuführen. Zusätzlich gibt es einen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in zhblue hustoj bis 26.01.23 ausgemacht. Sie wurde als kritisch eingestuft. Dabei betrifft es die Funktion problem_import_qduoj der Komponente ZIP File Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-22 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
HUSTOF is an open source online judge based on PHP/C++/MySQL/Linux for ACM/ICPC and NOIP training. Prior to version 26.01.24, the problem_import_qduoj.php and problem_import_hoj.php modules fail to properly sanitize filenames within uploaded ZIP archives. Attackers can craft a malicious ZIP file containing files with path traversal sequences (e.g., ../../shell.php). When extracted by the server, this allows writing files to arbitrary locations in the web root, leading to Remote Code Execution (RCE). Version 26.01.24 contains a fix for the issue.Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird seit dem 23.01.2026 mit CVE-2026-24479 vorgenommen. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.
Der Download des Exploits kann von exploit-db.com geschehen. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 26.01.24 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Exploit-DB (52539) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
- 26.01.0
- 26.01.1
- 26.01.2
- 26.01.3
- 26.01.4
- 26.01.5
- 26.01.6
- 26.01.7
- 26.01.8
- 26.01.9
- 26.01.10
- 26.01.11
- 26.01.12
- 26.01.13
- 26.01.14
- 26.01.15
- 26.01.16
- 26.01.17
- 26.01.18
- 26.01.19
- 26.01.20
- 26.01.21
- 26.01.22
- 26.01.23
Webseite
- Produkt: https://github.com/zhblue/hustoj/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.2
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔒
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: hustoj 26.01.24
Timeline
23.01.2026 CVE zugewiesen27.01.2026 Advisory veröffentlicht
27.01.2026 VulDB Eintrag erstellt
12.05.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: github.com
Status: Bestätigt
CVE: CVE-2026-24479 (🔒)
GCVE (CVE): GCVE-0-2026-24479
GCVE (VulDB): GCVE-100-342933
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 27.01.2026 02:23Aktualisierung: 12.05.2026 12:07
Anpassungen: 27.01.2026 02:23 (68), 02.03.2026 23:55 (11), 12.05.2026 12:07 (11)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.