CVE-2025-21622

Nome do Software Vulnerável e Versões Afetadas Versões do ClipBucket V5 anteriores a 5.5.1 - 237

Descrição O problema surge durante o fluxo de trabalho de upload de avatar do usuário, onde um usuário pode enviar e alterar seu avatar a qualquer momento. Durante a exclusão, o ClipBucket verifica se o avatar url é um caminho de arquivo dentro do subdiretório avatars. Se o caminho da URL existir dentro do diretório avatars, o ClipBucket o excluirá. No entanto, não há verificação de sequências de path traversal na entrada fornecida pelo usuário, armazenada no banco de dados como avatar url. Isso permite que a variável final $file seja contaminada com sequências de path traversal, levando à exclusão de arquivos fora do escopo pretendido da pasta avatars.

Recomendações Para versões do ClipBucket V5 anteriores a 5.5.1 - 237, atualize para a versão 5.5.1 - 237 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de upload de avatar para minimizar o risco de exploração. Além disso, evite usar entrada fornecida pelo usuário para operações de exclusão de arquivos até que o problema seja resolvido.