Fireshare облегчает самостоятельное размещение мультимедиа и обмен ссылками. До версии 1.5.3 исправление CVE-2026-33645 применялось к проверенной конечной точке /api/uploadChunked, но не применялось к неаутентифицированной конечной точке /api/uploadChunked/public в том же файле (app/server/fireshare/api.py). Злоумышленник, не прошедший проверку подлинности, может использовать параметр checkSum для записи произвольных файлов с содержимым, контролируемым злоумышленником, в любой доступный для записи путь в файловой системе сервера.
Эта проблема исправлена в версии 1.5.3.
Показать оригинальное описание (EN)
Fireshare facilitates self-hosted media and link sharing. Prior to version 1.5.3, the fix for CVE-2026-33645 was applied to the authenticated /api/uploadChunked endpoint but was not applied to the unauthenticated /api/uploadChunked/public endpoint in the same file (app/server/fireshare/api.py). An unauthenticated attacker can exploit the checkSum parameter to write arbitrary files with attacker-controlled content to any writable path on the server filesystem. This issue has been patched in version 1.5.3.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Shaneisrael Fireshare
cpe:2.3:a:shaneisrael:fireshare:*:*:*:*:*:*:*:*
|
— |
1.5.3
|