Plataforma
other
Componente
home-gallery
Corregido en
1.21.1
La vulnerabilidad CVE-2026-28679 es un fallo de Path Traversal descubierto en HomeGallery, una galería web auto-hospedada de fotos y videos. Esta falla permite a un atacante descargar archivos arbitrarios del sistema, comprometiendo la confidencialidad de la información. Afecta a versiones de HomeGallery anteriores a la 1.21.0. La vulnerabilidad ha sido corregida en la versión 1.21.0.
Un atacante puede explotar esta vulnerabilidad para acceder a archivos confidenciales almacenados en el servidor donde se ejecuta HomeGallery. Esto incluye archivos de configuración, código fuente, bases de datos y otros archivos sensibles. La descarga de estos archivos podría revelar información de autenticación, claves de API, contraseñas u otra información confidencial. El impacto potencial es alto, ya que un atacante podría obtener acceso completo al sistema subyacente. La falta de validación de la ruta de descarga permite la manipulación de la solicitud para acceder a directorios fuera del área designada para los medios.
La vulnerabilidad fue publicada el 6 de marzo de 2026. No se han reportado explotaciones activas en la naturaleza, pero la naturaleza de Path Traversal hace que sea relativamente fácil de explotar una vez que se conoce. No se ha añadido a KEV a la fecha. La falta de autenticación requerida para la descarga aumenta el riesgo de explotación.
Organizations and individuals using self-hosted instances of HomeGallery, particularly those with legacy configurations or inadequate file permission settings, are at risk. Shared hosting environments where multiple users share the same server are also potentially vulnerable if HomeGallery is installed.
disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28679 es actualizar HomeGallery a la versión 1.21.0 o superior. Si la actualización no es inmediatamente posible, considere implementar restricciones de acceso a nivel de sistema de archivos para limitar el acceso a directorios sensibles. Además, se recomienda configurar un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten acceder a archivos fuera del directorio de medios. Verifique que los permisos de los archivos y directorios sean lo más restrictivos posible.
Actualice HomeGallery a la versión 1.21.0 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorio que permite la lectura de archivos arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28679 is a Path Traversal vulnerability affecting HomeGallery versions prior to 1.21.0, allowing attackers to potentially download sensitive system files.
You are affected if you are using HomeGallery version 1.21.0 or earlier. Upgrade to 1.21.0 to resolve the vulnerability.
Upgrade HomeGallery to version 1.21.0. As a temporary workaround, implement a WAF rule to block suspicious path traversal patterns.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the HomeGallery project's official website and security advisories for the latest information: https://home-gallery.org/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.