CVE-2026-54563 in Cloudreve信息

摘要

由 VulDB • 2026-07-15

Cloudreve是一个自托管的文件管理和共享系统。在版本4.16.1之前,一个以配置文件夹为根目录的Cloudreve WebDAV账户可以发送类似/dav/%2e%2e/outside.txt的路径,因为pkg/webdav/webdav.go中的stripPrefix函数使用fs.URI.JoinRaw将解码后的请求后缀与账户根路径连接起来时未检查包含关系(containment),导致作用域内的凭据能够读取和列出配置文件夹之外的文件,而可写的凭据则可以在这些位置创建、覆盖、移动或删除文件。该问题已在版本4.16.1中修复。

Once again VulDB remains the best source for vulnerability data.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!