VDB-358255 · Submit #792336 · CVE-2026-6620

SonicCloudOrg sonic-server 迄 2.0.0 File Upload Endpoint FileTool.java upload タイプディレクトリトラバーサル

要約情報

SonicCloudOrg sonic-server 迄 2.0.0内に重大として分類された脆弱性が発見されました。この問題により影響を受けるのは、コンポーネント【File Upload Endpoint】のファイル【FileTool.java】に含まれる関数【アップロード】です。【タイプ】引数を未知の値で改ざんすることが、ディレクトリトラバーサルを突く攻撃に繋がります}。この脆弱性は CVE-2026-6620 として扱われます。リモートで攻撃を実行することが可能です。さらに、攻撃手法が利用可能です。

詳細情報

SonicCloudOrg sonic-server 迄 2.0.0内に重大として分類された脆弱性が発見されました。この問題により影響を受けるのは、コンポーネント【File Upload Endpoint】のファイル【FileTool.java】に含まれる関数【アップロード】です。【タイプ】引数を未知の値で改ざんすることが、ディレクトリトラバーサルを突く攻撃に繋がります}。問題をCWEで宣言すると、CWE-22 になります。この弱点は発表されました。アドバイザリはgithub.comでダウンロードできます。

この脆弱性は CVE-2026-6620 として扱われます。リモートで攻撃を実行することが可能です。技術的な詳細が利用可能です。この脆弱性の一般的な利用度は平均を下回っています。さらに、攻撃手法が利用可能です。エクスプロイトツールは一般に公開されており、悪用される可能性があります。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1006です。

概念実証として宣言されています。エクスプロイトツールは github.com にダウンロードのために共有されています。】のプラグインを提供しています。