CVE-2026-54563 in Cloudreveinformação

Sumário

de VulDB • 15/07/2026

O Cloudreve é um sistema de gerenciamento e compartilhamento de arquivos auto-hospedado. Antes da versão 4.16.1, uma conta WebDAV do Cloudreve com raiz em uma pasta configurada pode enviar caminhos como /dav/%2e%2e/outside.txt porque a função stripPrefix no pkg/webdav/webdav.go concatena o sufixo decodificado da solicitação à raiz da conta usando fs.URI.JoinRaw sem verificar a contenção, permitindo que credenciais com escopo leiam e listem arquivos fora da pasta configurada e que credenciais graváveis criem, sobrescrevam, movam ou excluam esses arquivos. Este problema foi relatado como corrigido na versão 4.16.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

15/06/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379275

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!