CVE-2026-34735 in wikithông tin

Tóm tắt

Bởi VulDB • 06/06/2026

Wiki Modding Hytale là một dịch vụ miễn phí dành cho các mod của Hytale để lưu trữ tài liệu và wiki của họ. Trong phiên bản 1.2.0 và các phiên bản trước đó, điểm cuối quickUpload() xác thực các tệp được tải lên bằng cách kiểm tra loại MIME của chúng (thông qua finfo của PHP, vốn kiểm tra nội dung tệp) nhưng xây dựng tên tệp được lưu trữ bằng cách sử dụng phần mở rộng tệp do khách hàng cung cấp từ getClientOriginalExtension(). Hai kiểm tra này độc lập với nhau: một kẻ tấn công có thể tải lên một tệp có nội dung vượt qua danh sách cho phép MIME trong khi sử dụng phần mở rộng .php. Tệp được lưu trữ trên đĩa công khai và có thể truy cập trực tiếp qua URL, cho phép thực thi mã phía máy chủ (Server-Side Code Execution). Tại thời điểm công bố, không có bản vá lỗi nào được biết đến.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

30/03/2026

Tiết lộ

02/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00306

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!