CVE-2025-21622 in clipbucket-v5
요약
\~에 의해 VulDB • 2026. 06. 10.
ClipBucket V5는 PHP 기반의 오픈 소스 비디오 호스팅 서비스를 제공합니다. 사용자 아바타 업로드 워크플로우 중 사용자는 언제든지 자신의 아바타를 선택하여 업로드하고 변경할 수 있습니다. 삭제 과정에서 ClipBucket은 `avatar_url`이 avatars 하위 디렉토리 내 파일 경로인지 확인합니다. 만약 URL 경로가 avatars 디렉토리 내에 존재하면, ClipBucket은 해당 파일을 삭제합니다. 제공된 사용자 입력(DB에 avatar_url로 저장됨)에 대한 패스 트래버설 시퀀스에 대한 검증이 없으므로 최종 `$file` 변수는 패스 트래버설 시퀀스로 인해 오염될 수 있습니다. 이로 인해 avatars 폴더의 의도된 범위 외부에서 파일 삭제 취약점이 발생합니다. 이 취약점은 5.5.1 - 237 버전에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.