CVE-2026-46336 in manyfold
要約
〜によって VulDB • 2026年07月16日
Manyfoldは、3Dモデルのコレクションを管理するためのオープンソースでセルフホスト型のWebアプリケーションであり、特に3Dプリントに焦点を当てています。バージョン0.96.0から0.140.0の間、認証済みユーザーはパストラバーサルシーケンスを使用してアップロードされたファイルの名前を変更できました。これは、app/models/model_file.rbがuser-controlled filename(ユーザー制御可能なファイル名)をFile.join(model.path, filename)で十分にサニタイズせずに使用していたためです。これにより、ファイルを構成済みのライブラリディレクトリの外に移動または書き込むことが可能でした。この問題はバージョン0.140.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.