CVE-2026-11416

Nome do Software Vulnerável e Versões Afetadas MoviePilot (versões afetadas não especificadas)

Description Existe um path traversal nos manipuladores de download de armazenamento em nuvem AliPan, U115 e Rclone. O problema ocorre porque o caminho de destino local é criado concatenando o diretório de download configurado com um nome de arquivo recuperado de metadados de API de nuvem remota, sem a realização de validação de caminho ou normalização de basename. Um invasor que controle um nome de arquivo retornado por uma API de armazenamento em nuvem remota pode usar sequências de travessia como ../ para gravar conteúdo baixado fora do diretório pretendido, o que pode levar à sobrescrita de arquivos arbitrários de configuração ou plugins acessíveis pelo processo da aplicação.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.