Талишар — фанатский проект «Плоть и кровь». До фиксации 6be3871 в параметре gameName была обнаружена уязвимость Path Traversal. Хотя основные точки входа приложения реализуют проверку ввода, к компоненту ParseGamestate.php можно получить прямой доступ как к автономному скрипту.
В этом сценарии отсутствие внутренней очистки позволяет обрабатывать последовательности обхода каталога (например, ../), что потенциально может привести к несанкционированному доступу к файлу. Эта проблема исправлена в коммите 6be3871.
Показать оригинальное описание (EN)
Talishar is a fan-made Flesh and Blood project. Prior to commit 6be3871, a Path Traversal vulnerability was identified in the gameName parameter. While the application's primary entry points implement input validation, the ParseGamestate.php component can be accessed directly as a standalone script. In this scenario, the absence of internal sanitization allows for directory traversal sequences (e.g., ../) to be processed, potentially leading to unauthorized file access. This issue has been patched in commit 6be3871.
Характеристики атаки
Последствия
Строка CVSS v3.1