anonhaven

CVE-2026-30943

MEDIUM CVSS 3.1: 4,1 EPSS 0.01%
Обновлено 17 марта 2026
Forceu
Параметр Значение
CVSS 4,1 (MEDIUM)
Уязвимые версии до 2.2.4
Устранено в версии 2.2.4
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик Forceu
Публичный эксплойт Нет

Gokapi — это автономный сервер обмена файлами с автоматическим сроком действия и поддержкой шифрования. До версии 2.2.4 недостаточная проверка авторизации в API замены файлов позволяла пользователю с разрешением только на видимость списка (UserPermListOtherUploads) удалять файл другого пользователя, злоупотребляя флагом deleteNewFile, минуя требование для UserPermDeleteOtherUploads. Эта уязвимость исправлена ​​в версии 2.2.4.

Показать оригинальное описание (EN)

Gokapi is a self-hosted file sharing server with automatic expiration and encryption support. Prior to 2.2.4, An insufficient authorization check in the file replace API allows a user with only list visibility permission (UserPermListOtherUploads) to delete another user's file by abusing the deleteNewFile flag, bypassing the requirement for UserPermDeleteOtherUploads. This vulnerability is fixed in 2.2.4.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Forceu Gokapi
cpe:2.3:a:forceu:gokapi:*:*:*:*:*:*:*:*
 2.2.4

Ссылки 2

https://github.com/Forceu/Gokapi/releases/tag/v2.2.4
security-advisories@github.com
https://github.com/Forceu/Gokapi/security/advisories/GHSA-j6jp-78w8-34x6
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-30961

Forceu

4,3

CVE-2026-30955

Forceu

6,5