CVE-2026-54563 in Cloudreveinformazioni

Riassunto

di VulDB • 15/07/2026

Cloudreve è un sistema di gestione e condivisione dei file self-hosted. Prima della versione 4.16.1, un account WebDAV di Cloudreve radicato a una cartella configurata può inviare percorsi come /dav/%2e%2e/outside.txt poiché stripPrefix in pkg/webdav/webdav.go concatena il suffisso della richiesta decodificato alla root dell'account con fs.URI.JoinRaw senza verificare la contenenza, consentendo alle credenziali limitate (scoped credential) di leggere ed elencare file al di fuori della cartella configurata e alle credenziali scrivibili di creare, sovrascrivere, spostare o eliminare tali file. Questo problema è segnalato come risolto nella versione 4.16.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

15/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!