Plattform
php
Komponente
chyrp-lite
Behoben in
2026.01
CVE-2026-35174 describes a critical Remote Code Execution (RCE) vulnerability discovered in Chyrp Lite, an ultra-lightweight blogging engine. This flaw allows attackers to leverage a path traversal vulnerability within the administration console to gain unauthorized access and potentially execute arbitrary code on the server. The vulnerability impacts versions 0.0.0 through 2026.00, and a fix is available in version 2026.01.
Die CVE-2026-35174-Schwachstelle in Chyrp Lite offenbart ein Path-Traversal-Risiko in der Administrationskonsole. Ein Administrator oder ein Benutzer mit der Berechtigung, Einstellungen zu ändern, kann den Upload-Pfad auf einen beliebigen Ordner auf dem Server ändern. Dies ermöglicht einem Angreifer, beliebige Dateien herunterzuladen, einschließlich sensibler Konfigurationsdateien wie config.json.php, die Datenbankanmeldeinformationen enthalten. Eine erfolgreiche Ausnutzung kann zu unbefugtem Zugriff auf die Datenbank, Datenverstößen und potenziell zur Remote-Code-Ausführung durch Überschreiben kritischer Systemdateien führen. Die Schwere dieser Schwachstelle ergibt sich aus der einfachen Ausnutzbarkeit und dem potenziellen Schaden für den Server und seine Daten.
Diese Schwachstelle wird über das Chyrp Lite-Administrationspanel ausgenutzt. Ein Angreifer mit Administratorrechten oder der Berechtigung zum Ändern von Einstellungen kann den Upload-Pfad so manipulieren, dass er auf beliebige Speicherorte im Dateisystem des Servers verweist. Sobald der Pfad geändert wurde, kann der Angreifer sensible Dateien wie Datenbankkonfigurationsdateien herunterladen oder kritische Systemdateien überschreiben, was zu einer Remote-Code-Ausführung führt. Die Einfachheit der Ausnutzung, kombiniert mit dem Potenzial für Datenexposition und Systemkompromittierung, macht diese zu einer hochprioritären Schwachstelle.
Small to medium-sized businesses and individuals using Chyrp Lite for their blogs are at significant risk. Shared hosting environments are particularly vulnerable, as a compromised Chyrp Lite installation could potentially impact other websites hosted on the same server. Legacy Chyrp Lite installations that have not been regularly updated are also at increased risk.
• linux / server:
find /var/www/chyrp/ -name 'config.json.php' -print• generic web:
curl -I http://your-chyrp-site.com/admin/settings.php?uploads_path=../../../../etc/passwd• php:
Check the uploads_path configuration setting in the settings.php file for suspicious paths containing ../ sequences.
disclosure
Exploit-Status
EPSS
0.46% (64% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abmilderung besteht darin, Chyrp Lite auf Version 2026.01 oder höher zu aktualisieren, die eine Korrektur für diese Schwachstelle enthält. Bis die Aktualisierung angewendet wurde, beschränken Sie den Zugriff auf die Administrationskonsole auf vertrauenswürdige Benutzer und überprüfen Sie sorgfältig alle Änderungen an den Upload-Einstellungen. Die Implementierung robuster Zugriffskontrollen und die Überwachung der Serveraktivität auf verdächtiges Verhalten können ebenfalls dazu beitragen, das Risiko zu verringern. Eine schnelle Behebung ist entscheidend, um Ihre Chyrp Lite-Installation vor potenziellen Kompromittierungen zu schützen.
Actualice Chyrp Lite a la versión 2026.01 o posterior para corregir la vulnerabilidad de recorrido de ruta. Verifique y restrinja los permisos de usuario para evitar que los usuarios no autorizados modifiquen la ruta de carga. Implemente una validación de entrada robusta para evitar la manipulación de la ruta de carga.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Chyrp Lite ist eine ultra-leichte und benutzerfreundliche Blogging-Engine.
Version 2026.01 behebt die CVE-2026-35174, eine Path-Traversal-Schwachstelle, die unbefugten Dateizugriff und potenziell Codeausführung ermöglichen könnte.
Beschränken Sie den Zugriff auf das Admin-Panel und überwachen Sie die Serveraktivität.
Datenbankkonfigurationsdateien (wie config.json.php) und kritische Systemdateien.
Wenn Sie eine Version vor 2026.01 verwenden, ist Ihre Installation anfällig.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.