Katalog CVE

CVE-2026-44258

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach przed 4.08.010, funkcja elfinder_checkRisk w efw4.X nie weryfikuje parametru dst używanego przez elfinder_paste, co pozwala atakującemu na kopiowanie lub przenoszenie plików z katalogu domowego do dowolnej lokalizacji poprzez ustawienie dst na zakodowaną w base64 ścieżkę przejścia.

Ocena ryzyka

Atakujący może uzyskać dostęp do plików w katalogu domowym, co prowadzi do potencjalnego wycieku danych lub nieautoryzowanego dostępu do systemu.

Rekomendacja

Zaleca się aktualizację do wersji 4.08.010 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

efw4.X is an Enterprise Framework for Web. Prior to 4.08.010, the elfinder_checkRisk function validates target and targets for path traversal and home containment, but does not validate the dst (destination) parameter used by elfinder_paste. An attacker can copy or move files from within the home directory to any arbitrary destination by setting dst to a base64-encoded traversal path. This bypasses the protected=true security control. This vulnerability is fixed in 4.08.010.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS