CVE-2026-35174
🟠 Łataj w tym tygodniu
W Chyrp Lite luka w przejściu ścieżek umożliwia pobieranie plików, w tym danych konfiguracyjnych.
CVSS
9.1
EPSS
0.5%
Exploit
none
Vendor
chyrplite
Opis źródłowy (NVD)
Chyrp Lite is an ultra-lightweight blogging engine. Prior to 2026.01, a path traversal vulnerability exists in the administration console that allows an administrator or a user with Change Settings permission to change the uploads path to any folder. This vulnerability allows the user to download any file on the server, including config.json.php with database credentials and overwrite critical system files, leading to remote code execution. This vulnerability is fixed in 2026.01.
path-traversal rce
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.1 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.5% |
| Opublikowano (NVD) | 2026-04-06 18:16:43 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-14 15:37:14 UTC |
Referencje
- https://github.com/xenocrat/chyrp-lite/security/advisories/GHSA-p6pf-2grm-8257 (security-advisories@github.com) [Vendor Advisory]