Hytale Modding Wiki — это бесплатный сервис для модов Hytale, где можно размещать свою документацию и вики. В версии 1.2.0 и более ранних версиях конечная точка fastUpload() проверяет загруженные файлы, проверяя их тип MIME (через PHP finfo, который проверяет содержимое файла), но создает сохраненное имя файла, используя предоставленное клиентом расширение файла из getClientOriginalExtension(). Эти две проверки независимы: злоумышленник может загрузить файл, содержимое которого соответствует списку разрешений MIME, используя расширение .php.
Файл хранится на общедоступном диске и доступен напрямую через URL-адрес, что позволяет выполнять код на стороне сервера. На момент публикации известных патчей не существует.
Показать оригинальное описание (EN)
The Hytale Modding Wiki is a free service for Hytale mods to host their documentation & wikis. In version 1.2.0 and prior, the quickUpload() endpoint validates uploaded files by checking their MIME type (via PHP's finfo, which inspects file contents) but constructs the stored filename using the client-supplied file extension from getClientOriginalExtension(). These two checks are independent: an attacker can upload a file whose content passes the MIME allowlist while using a .php extension. The file is stored on the public disk and is directly accessible via URL, allowing server-side code execution. At time of publication no known patches exist.
Характеристики атаки
Последствия
Строка CVSS v4.0