Katalog CVE

CVE-2026-49133

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Typemill w wersjach przed 2.24.0 zawiera podatność typu przejście ścieżki, która pozwala uwierzytelnionym atakującym z uprawnieniami na poziomie autora na odczyt dowolnych plików poza katalogiem treści. Atakujący mogą wykorzystać sekwencje przejścia w parametrze zapytania ścieżki przekazywanym do Storage::getFile() z pustym argumentem folderu.

Ocena ryzyka

Podatność ta umożliwia dostęp do wrażliwych plików, co może prowadzić do ujawnienia danych i naruszenia prywatności organizacji.

Rekomendacja

Zaleca się aktualizację Typemill do wersji 2.24.0 lub nowszej, aby usunąć tę podatność oraz przegląd uprawnień użytkowników z poziomem autora.

Oryginalny opis (angielski, źródło NVD)

Typemill before 2.24.0 contains a path traversal vulnerability that allows authenticated attackers with Author-level privileges to read arbitrary files outside the content directory by supplying traversal sequences in the path query parameter passed to Storage::getFile() with an empty folder argument. Attackers can bypass traversal-prevention controls in Storage::getFolderPath() to access sensitive files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS