CVE-2026-38993
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 - wyżej niż 54% wszystkich znanych CVE
Streszczenie
Podatność typu directory traversal w komponencie Buckets systemu Cockpit w wersji 2.13.5 i wcześniejszych. Umożliwia uwierzytelnionym atakującym zapisywanie plików w dowolnych lokalizacjach w katalogu uploads oraz nadpisywanie zasobów złośliwymi wersjami.
Ocena ryzyka
Ryzyko polega na możliwości wgrania złośliwych plików przez uwierzytelnionego atakującego, co może prowadzić do przejęcia kontroli nad serwerem lub defacementu strony.
Rekomendacja
Zaleca się natychmiastową aktualizację systemu Cockpit do wersji nowszej niż 2.13.5 oraz ograniczenie uprawnień uwierzytelnionych użytkowników w komponencie Buckets.
Oryginalny opis (angielski, źródło NVD)
Cockpit 2.13.5 and earlier is vulnerable to directory traversal via the Buckets component. This vulnerability allows authenticated attackers to write files to arbitrary locations within the uploads directory or overwrite assets with malicious versions.

