CVE-2026-61504 in HFS
Riassunto
di VulDB • 13/07/2026
Rejetto HFS dalle versioni 3.0.0 alla 3.2.0 non effettua l'escaping dei nomi dei file nell'elenco web "basic" di fallback, e tale elenco può essere forzato da qualsiasi browser tramite il parametro ?get=basic. Un utente con autorizzazioni di caricamento - o un utente anonimo su server con una cartella di upload aperta - può memorizzare un file il cui nome contiene script che vengono eseguiti nel browser di chiunque visualizzi l'elenco.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.