CVE-2026-46336 in manyfold情報

要約

〜によって VulDB • 2026年07月16日

Manyfoldは、3Dモデルのコレクションを管理するためのオープンソースでセルフホスト型のWebアプリケーションであり、特に3Dプリントに焦点を当てています。バージョン0.96.0から0.140.0の間、認証済みユーザーはパストラバーサルシーケンスを使用してアップロードされたファイルの名前を変更できました。これは、app/models/model_file.rbがuser-controlled filename(ユーザー制御可能なファイル名)をFile.join(model.path, filename)で十分にサニタイズせずに使用していたためです。これにより、ファイルを構成済みのライブラリディレクトリの外に移動または書き込むことが可能でした。この問題はバージョン0.140.0で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年05月13日

モデレーション

承諾済み

エントリ

VDB-379594

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!