caliber — это кроссплатформенный менеджер электронных книг для просмотра, конвертирования, редактирования и каталогизации электронных книг. До версии 9.5.0 уязвимость обхода пути во входном плагине RocketBook (.rb) (src/калибровка/ebooks/rb/reader.py) позволяла злоумышленнику записывать произвольные файлы по любому пути, доступному для записи процессом caliber, когда пользователь открывает или конвертирует созданный файл .rb. Это тот же класс ошибок, исправленный в CVE-2026-26065 для устройств чтения PDB, но исправление никогда не применялось к устройству чтения RB.
Эта уязвимость исправлена в версии 9.5.0.
Показать оригинальное описание (EN)
calibre is a cross-platform e-book manager for viewing, converting, editing, and cataloging e-books. Prior to 9.5.0, a path traversal vulnerability in the RocketBook (.rb) input plugin (src/calibre/ebooks/rb/reader.py) allows an attacker to write arbitrary files to any path writable by the calibre process when a user opens or converts a crafted .rb file. This is the same bug class fixed in CVE-2026-26065 for the PDB readers, but the fix was never applied to the RB reader. This vulnerability is fixed in 9.5.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Calibre-Ebook Calibre
cpe:2.3:a:calibre-ebook:calibre:*:*:*:*:*:*:*:*
|
— |
9.5.0
|