CVE-2026-58467
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Cockpit CMS przed wydaniem 364 zawiera podatność na path traversal i lokalne dołączanie plików, która pozwala nieuwierzytelnionym atakującym na odczyt dowolnych plików lub wykonanie plików PHP poprzez dołączanie niesprawdzonego PATH_INFO pochodzącego z REQUEST_URI w konstrukcji ścieżki systemu plików bez kontroli ograniczeń. Atakujący mogą wstrzykiwać sekwencje kropek (dot-dot) do URL, aby wyjść poza wyznaczony katalog spaces, a gdy rozpoznana ścieżka kończy się rozszerzeniem .php, aplikacja przekazuje ją do include(), umożliwiając lokalne dołączanie plików na wdrożeniach korzystających z wbudowanego serwera PHP lub niektórych niestandardowych konfiguracji Nginx.
Ocena ryzyka
Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do wrażliwych plików konfiguracyjnych, danych użytkowników lub kodu źródłowego, a w przypadku wdrożeń z PHP built-in server lub specyficznymi konfiguracjami Nginx – zdalne wykonanie kodu PHP, co może prowadzić do pełnego przejęcia serwera.
Rekomendacja
Należy natychmiast zaktualizować Cockpit CMS do wersji 364 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo zaleca się unikanie używania wbudowanego serwera PHP w środowiskach produkcyjnych oraz stosowanie bezpiecznych konfiguracji Nginx z odpowiednimi regułami walidacji ścieżek.
Oryginalny opis (angielski, źródło NVD)
Cockpit CMS before release 364 contains a path traversal and local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files or execute PHP files by including unvalidated PATH_INFO derived from REQUEST_URI in filesystem path construction without containment checks. Attackers can inject dot-dot sequences into the URL to traverse outside the designated spaces directory, and when the resolved path ends with a .php extension, the application passes it to include(), enabling local file inclusion on deployments using the PHP built-in server or certain non-default Nginx configurations.

