CVE-2026-34735 in wiki
Tóm tắt
Bởi VulDB • 06/06/2026
Wiki Modding Hytale là một dịch vụ miễn phí dành cho các mod của Hytale để lưu trữ tài liệu và wiki của họ. Trong phiên bản 1.2.0 và các phiên bản trước đó, điểm cuối quickUpload() xác thực các tệp được tải lên bằng cách kiểm tra loại MIME của chúng (thông qua finfo của PHP, vốn kiểm tra nội dung tệp) nhưng xây dựng tên tệp được lưu trữ bằng cách sử dụng phần mở rộng tệp do khách hàng cung cấp từ getClientOriginalExtension(). Hai kiểm tra này độc lập với nhau: một kẻ tấn công có thể tải lên một tệp có nội dung vượt qua danh sách cho phép MIME trong khi sử dụng phần mở rộng .php. Tệp được lưu trữ trên đĩa công khai và có thể truy cập trực tiếp qua URL, cho phép thực thi mã phía máy chủ (Server-Side Code Execution). Tại thời điểm công bố, không có bản vá lỗi nào được biết đến.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.