CVE-2026-45230
KrytyczneStreszczenie
DumbAssets w wersji do 1.0.11 zawiera podatność na traversję ścieżki w punkcie końcowym POST /api/delete-file, co pozwala nieautoryzowanym atakującym na usuwanie dowolnych plików poprzez dostarczenie sekwencji ../, które omijają walidację granic katalogów.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do usunięcia krytycznych plików, takich jak server.js czy package.json, co prowadzi do całkowitego zablokowania usługi.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji DumbAssets oraz włączenie kontroli uwierzytelniania, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
DumbAssets through 1.0.11 contains a path traversal vulnerability in the POST /api/delete-file endpoint and filesToDelete array parameters that allows unauthenticated attackers to delete arbitrary files by supplying ../ sequences that bypass directory boundary validation. Attackers can exploit the optional and disabled-by-default authentication control to traverse outside the intended application directory and delete critical files such as server.js or package.json, causing complete denial of service.

