PT-2026-36131 · Jeesite · Jeesite
Arron-Bit
·
Publicado
2026-04-30
·
Atualizado
2026-05-12
·
CVE-2026-36760
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
JeeSite versão 5.15.1
Descrição
Um problema no endpoint '/a/file/upload' permite que atacantes autenticados com permissões de upload de arquivos executem path traversal e gravem arquivos arbitrários com sufixos permitidos em qualquer local do sistema de arquivos quando o upload em partes (chunked upload) está habilitado. Isso é possível através do parâmetro
fileMd5.Recomendações
Como medida paliativa temporária, restrinja o acesso ao endpoint '/a/file/upload' ou desabilite o recurso de upload em partes para evitar o uso do parâmetro
fileMd5 para gravações de arquivos não autorizadas.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jeesite