Plataforma
other
Componente
crafty-controller
Corregido en
4.8.0
Se ha identificado una vulnerabilidad de Path Traversal en el componente File Operations API Endpoint de Crafty Controller. Esta falla de seguridad permite a un atacante remoto autenticado manipular archivos y ejecutar código a distancia. La vulnerabilidad afecta a las versiones 4.7.0 a 4.8.0 de Crafty Controller, y se recomienda actualizar a la versión 4.8.0 para solucionar el problema.
La vulnerabilidad de Path Traversal en Crafty Controller representa un riesgo significativo para la seguridad. Un atacante que explote esta falla puede acceder a archivos confidenciales fuera del directorio previsto, modificar archivos críticos del sistema o incluso ejecutar código malicioso en el servidor. Esto podría resultar en la pérdida de datos, la interrupción del servicio y el compromiso total del sistema. El impacto se agrava por la posibilidad de ejecución remota de código, lo que permite al atacante tomar el control completo del sistema afectado. La severidad CRÍTICA del CVSS indica la alta probabilidad de explotación y el potencial de daño significativo.
La vulnerabilidad CVE-2026-0963 fue publicada el 30 de enero de 2026. No se ha reportado explotación activa en entornos reales al momento de la publicación. No se ha añadido a la lista KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Crafty Controller a la versión 4.8.0, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar el acceso a los archivos sensibles. Esto puede incluir la configuración de permisos de archivo restrictivos y la implementación de listas de control de acceso (ACLs). Además, se recomienda revisar y fortalecer la validación de entrada para prevenir ataques de Path Traversal. Después de la actualización, confirme la mitigación verificando que los intentos de acceder a archivos fuera del directorio previsto sean bloqueados.
Actualice Crafty Controller a la versión 4.8.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización mitigará el riesgo de manipulación de archivos y ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0963 is a critical vulnerability allowing authenticated attackers to manipulate files and potentially execute code via path traversal in Crafty Controller's File Operations API Endpoint.
You are affected if you are using Crafty Controller versions 4.7.0 through 4.8.0 and have not upgraded to version 4.8.0 or later.
Upgrade Crafty Controller to version 4.8.0 or later. As a temporary workaround, restrict access to the API and implement strict input validation.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Crafty Controller security advisory for detailed information and updates regarding CVE-2026-0963.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.