Plataforma
php
Componente
clipbucket-v5
Corregido en
5.5.2
El CVE-2025-21622 es una vulnerabilidad de Path Traversal descubierta en ClipBucket, una plataforma de alojamiento de video de código abierto basada en PHP. Esta falla permite a un atacante, durante el proceso de eliminación de avatares de usuario, eliminar archivos arbitrarios en el servidor. La vulnerabilidad afecta a versiones de ClipBucket menores o iguales a 5.5.1 - 237 y ha sido publicada el 7 de enero de 2025. La solución recomendada es actualizar a la versión 5.5.1 - 237.
La vulnerabilidad de Path Traversal en ClipBucket permite a un atacante, aprovechando la falta de validación en la URL del avatar de usuario, manipular la ruta del archivo a eliminar. Esto significa que, en lugar de eliminar únicamente el archivo de avatar, el atacante puede especificar una ruta arbitraria en el sistema de archivos, permitiéndole borrar archivos críticos del sistema, incluyendo archivos de configuración, código fuente o incluso archivos del sistema operativo. El impacto potencial es la pérdida de datos, la interrupción del servicio y, en el peor de los casos, el compromiso total del servidor. Un atacante con acceso a esta vulnerabilidad podría obtener control sobre el servidor ClipBucket.
La vulnerabilidad CVE-2025-21622 fue publicada el 7 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación, por lo que se recomienda monitorear las fuentes de seguridad para detectar cualquier desarrollo en este sentido.
ClipBucket installations, particularly those running older versions (5.5.1 and below), are at risk. Shared hosting environments where multiple users share the same ClipBucket instance are especially vulnerable, as a compromised user account could be used to exploit the vulnerability and impact other users. Legacy configurations with permissive file upload settings also increase the risk.
• linux / server:
find /var/www/clipbucket/avatars -type f -name '*..*' 2>/dev/null # Check for files with suspicious names• generic web:
curl -I 'http://your-clipbucket-site.com/avatars/../../../../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
1.27% (79% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-21622 es actualizar ClipBucket a la versión 5.5.1 - 237, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de la URL del avatar de usuario antes de utilizarla en cualquier operación de archivo. Esto puede incluir el uso de una lista blanca de caracteres permitidos o la normalización de la ruta del archivo para eliminar cualquier secuencia de path traversal. Además, se recomienda revisar los permisos de los archivos y directorios para asegurar que solo el usuario ClipBucket tenga acceso de escritura. Después de la actualización, confirme que la funcionalidad de eliminación de avatares funciona correctamente y no presenta errores inesperados.
Actualice ClipBucket a la versión 5.5.1 - 237 o superior. Esta versión corrige la vulnerabilidad de (path traversal) en la función de eliminación de avatares. La actualización evitará la eliminación de archivos fuera del directorio de avatares.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-21622 es una vulnerabilidad de Path Traversal en ClipBucket que permite a atacantes eliminar archivos arbitrarios en el servidor a través de la manipulación de la URL del avatar de usuario.
Si está utilizando ClipBucket en una versión menor o igual a 5.5.1 - 237, es vulnerable a esta vulnerabilidad. Actualice a la versión 5.5.1 - 237 para mitigar el riesgo.
La solución recomendada es actualizar ClipBucket a la versión 5.5.1 - 237. Si la actualización no es posible, implemente una validación estricta de la URL del avatar de usuario.
Hasta el momento, no se han reportado campañas de explotación activas para CVE-2025-21622, pero la disponibilidad de un PoC podría aumentar el riesgo.
Consulte el sitio web oficial de ClipBucket o sus canales de comunicación para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.