CVE-2026-49290
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 43 - wyżej niż 43% wszystkich znanych CVE
Streszczenie
Slopsmith, aplikacja webowa do przeglądania i grania w Rocksmith 2014 Custom DLC, ma podatność na przejście ścieżki, która pozwala atakującemu na zapisanie dowolnych plików poza katalogiem ekstrakcji. W wersji przed 0.2.9-alpha.5, wykorzystując odpowiednio przygotowane archiwa PSARC lub sloppak, można uzyskać zdalne wykonanie kodu na hoście.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W przypadku domyślnej konfiguracji Dockera, atakujący może uzyskać dostęp do systemu jako root.
Rekomendacja
Zaleca się aktualizację do wersji 0.2.9-alpha.5, która naprawia tę podatność. Do czasu aktualizacji nie należy otwierać archiwów PSARC ani sloppak z nieznanych źródeł oraz nie wystawiać instancji Slopsmith na publiczny internet.
Oryginalny opis (angielski, źródło NVD)
Slopsmith is a self-contained web application for browsing, playing, and practicing Rocksmith 2014 Custom DLC (CDLC). Prior to 0.2.9-alpha.5, a path-traversal vulnerability in Slopsmith's archive extractors allows an attacker to write arbitrary files outside the extraction directory by supplying a crafted PSARC or sloppak archive. With the default Docker configuration (running as root) and the ability to drop a file into the plugin directory, this escalates to arbitrary remote code execution on the host. Three archive extractors concatenated archive-entry filenames directly onto the extraction root without validation: `lib/psarc.py::unpack_psarc` — PSARC TOC filenames; `lib/patcher.py::unpack_psarc` — duplicate of the above in the patcher flow; `lib/sloppak.py::_unpack_zip` — bare `ZipFile.extractall()` with no member filter. Each accepts entry names containing `..` segments, absolute paths, or backslash separators. The Python `zipfile` module's default `extractall()` is documented as not preventing traversal when callers don't supply a member-filter callback. Version 0.2.9-alpha.5 patches the issue. Until updated, do not open PSARC or sloppak archives from untrusted sources, and do not expose the Slopsmith instance to the public internet. Docker users should also pull the latest image after the next slopsmith Docker image is published.

