CVE-2026-54563 in Cloudreveinformation

Résumé

par VulDB • 15/07/2026

Cloudreve est un système de gestion et de partage de fichiers auto-hébergé. Avant la version 4.16.1, un compte WebDAV Cloudrede ancré dans un dossier configuré peut envoyer des chemins tels que /dav/%2e%2e/outside.txt car stripPrefix dans pkg/webdav/webdav.go joint le suffixe de requête décodé à la racine du compte avec fs.URI.JoinRaw sans vérifier l'appartenance, permettant aux identifiants limités par périmètre (scoped credentials) de lire et lister des fichiers en dehors du dossier configuré, ainsi qu'aux identifiants disposant d'un droit d'écriture de créer, écraser, déplacer ou supprimer ces fichiers. Ce problème est signalé comme corrigé dans la version 4.16.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

15/06/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379275

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!