Chyrp Lite hat eine Path Traversal zu Remote Code Execution

Chyrp Lite ist eine ultra-leichte Blogging-Engine. Vor 2026.01 existiert eine Path-Traversal-Schwachstelle in der Administrationskonsole, die es einem Administrator oder einem Benutzer mit der Berechtigung „Einstellungen ändern“ ermöglicht, den Upload-Pfad auf jeden Ordner zu ändern. Diese Schwachstelle ermöglicht es dem Benutzer, jede Datei auf dem Server herunterzuladen, einschließlich config.json.php mit Datenbankanmeldeinformationen und das Überschreiben kritischer Systemdateien, was zu Remote Code Execution führt. Diese Schwachstelle ist in 2026.01 behoben.