PT-2026-37432 · Apache · Apache Wicket
Pedro Henrique Oliveira Dos Santos
·
Publicado
2026-05-06
·
Atualizado
2026-05-07
·
CVE-2026-43975
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Wicket versões 8.0.0 até 8.17.0
Apache Wicket versões 9.0.0 até 9.22.0
Apache Wicket versões 10.0.0 até 10.8.0
Descrição
O FolderUploadsFileManager não valida nem sanitiza o parâmetro
uploadFieldId ou o clientFileName antes de construir caminhos de arquivos. Isso permite que um invasor não autenticado grave arquivos arbitrários fora do diretório de upload pretendido ou leia arquivos de locais arbitrários no servidor.Recomendações
Atualizar para a versão 10.9.0.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Wicket