anonhaven

CVE-2026-5344

MEDIUM CVSS 4.0: 5,3
Обновлено 2 апреля 2026
PHP
Параметр Значение
CVSS 5,3 (MEDIUM)
Тип уязвимости CWE-22 (Обход пути)
Поставщик PHP
Публичный эксплойт Нет

В Textpattern до версии 4.9.1 обнаружена уязвимость безопасности. Этой уязвимости подвержена функция mt_uploadImage файла rpc/TXP_RPCServer.php компонента XML-RPC Handler. Манипулирование аргументом file.name приводит к обходу пути.

Возможна удаленная эксплуатация атаки. Эксплойт был раскрыт публично и может быть использован. Поставщик подтвердил проблему и предоставит исправление в следующем выпуске.

Показать оригинальное описание (EN)

A security vulnerability has been detected in Textpattern up to 4.9.1. Affected by this vulnerability is the function mt_uploadImage of the file rpc/TXP_RPCServer.php of the component XML-RPC Handler. The manipulation of the argument file.name leads to path traversal. Remote exploitation of the attack is possible. The exploit has been disclosed publicly and may be used. The vendor confirmed the issue and will provide a fix in the upcoming release.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)

Ссылки 4

https://github.com/LTX-GOD/Mycve/blob/main/Textpatterncms_en.md
cna@vuldb.com
https://vuldb.com/submit/769166
cna@vuldb.com
https://vuldb.com/vuln/354696
cna@vuldb.com
https://vuldb.com/vuln/354696/cti
cna@vuldb.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33691

Coreruleset

6,8

CVE-2026-26895

PHP

None

CVE-2026-34974

PHP

5,4

CVE-2026-34973

PHP

6,9

CVE-2026-32629

PHP

5,4