CVE-2026-33071 in FileRise
요약
\~에 의해 VulDB • 2026. 05. 09.
FileRise는 자체 호스팅 웹 파일 관리자이자 WebDAV 서버입니다. 3.8.0 이전 버전에서 WebDAV 업로드 엔드포인트는 .phtml, .php5, .htaccess 및 기타 서버 측 실행 파일 유형을 포함한 모든 파일 확장자를 수락하며, 이는 일반 업로드 경로에서 적용되는 파일명 검증을 우회합니다. Apache의 LocationMatch 보호 기능이 없는 기본 설정이 아닌 배포 환경에서는 이로 인해 원격 코드 실행(RCE)이 가능합니다. WebDAV를 통해 파일이 업로드될 때, FileRiseDirectory.php의 createFile() 메서드와 FileRiseFile.php의 put() 메서드는 검증 없이 WebDAV 클라이언트에서 직접 파일명을 받습니다. 반면, UploadModel::upload()의 일반 업로드 엔드포인트는 REGEX_FILE_NAME을 사용하여 파일명을 검증합니다. 이 문제는 버전 3.8.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.