Plataforma
php
Componente
talishar
Corregido en
6.0.1
Se ha identificado una vulnerabilidad de Path Traversal en Talishar, un proyecto fan-made de Flesh and Blood. Esta vulnerabilidad reside en el parámetro gameName y permite a un atacante acceder a archivos sensibles a través de secuencias de recorrido de directorios (../). La vulnerabilidad afecta a versiones anteriores al commit 6be3871 y ha sido corregida en la versión 6be3871.
Un atacante que explote esta vulnerabilidad podría leer archivos arbitrarios en el sistema de archivos del servidor donde se ejecuta Talishar. Esto podría incluir archivos de configuración, código fuente u otros datos confidenciales. La posibilidad de acceso no autorizado a estos archivos podría resultar en la divulgación de información sensible, la modificación de la configuración del sistema o incluso la ejecución de código malicioso, dependiendo de los permisos del usuario que ejecuta el proceso de Talishar. La accesibilidad directa del componente ParseGamestate.php sin validación interna agrava el riesgo.
Esta vulnerabilidad fue publicada el 6 de marzo de 2026. No se han reportado campañas de explotación activas conocidas públicamente. La vulnerabilidad no figura en el KEV de CISA. La ausencia de validación de entrada en el componente ParseGamestate.php facilita la explotación.
This vulnerability primarily affects users who are running vulnerable versions of Talishar, particularly those who have exposed the ParseGamestate.php script directly to the internet. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• php: Examine web server access logs for requests containing directory traversal sequences (e.g., ../).
• php: Search for the ParseGamestate.php file in the webroot and verify that it is not directly accessible.
• generic web: Use curl to test for directory traversal:
curl 'http://your-talishar-server/ParseGamestate.php?gameName=../../../../etc/passwd'• generic web: Monitor file integrity for critical system files to detect unauthorized modifications.
disclosure
Estado del Exploit
EPSS
0.47% (64% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Talishar a la versión 6be3871, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación de entrada robusta en el parámetro gameName para prevenir secuencias de recorrido de directorios. Esto podría incluir el uso de una lista blanca de caracteres permitidos o la sanitización de la entrada para eliminar o escapar caracteres potencialmente peligrosos. Además, restringir el acceso directo al componente ParseGamestate.php es crucial.
Actualice Talishar a la versión con el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 o posterior. Esto corrige la vulnerabilidad de Path Traversal en el parámetro gameName.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28429 is a Path Traversal vulnerability in Talishar, allowing attackers to potentially access unauthorized files by manipulating the gameName parameter in ParseGamestate.php.
You are affected if you are using a version of Talishar prior to 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 and the ParseGamestate.php script is directly accessible.
Upgrade Talishar to version 6be3871 or later. Alternatively, restrict direct access to ParseGamestate.php and implement WAF rules to block directory traversal attempts.
No active exploitation has been confirmed at this time, but vigilance is still advised.
Refer to the project's repository or communication channels for the official advisory regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.