Plateforme
php
Composant
phptransformer
Corrigé dans
2016.9.1
La vulnérabilité CVE-2019-25579 est une faille de parcours de répertoire découverte dans phpTransformer, affectant la version 2016.9. Un attaquant non authentifié peut exploiter cette faille pour accéder à des fichiers arbitraires sur le système en manipulant le paramètre de chemin dans les requêtes envoyées au serveur jQueryFileUploadmaster. La mise à jour vers une version corrigée est recommandée pour atténuer ce risque.
Cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire prévu. En manipulant le paramètre de chemin avec des séquences comme '../…/…/', l'attaquant peut lister et récupérer des fichiers critiques, tels que des fichiers de configuration, des clés API, ou même du code source. L'impact peut être significatif, allant de la divulgation d'informations confidentielles à la prise de contrôle du serveur, en fonction des fichiers accessibles et des privilèges de l'utilisateur exécutant phpTransformer. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité CVE-2019-25579 a été publiée le 2026-03-21. Il n'y a pas d'indication d'une présence dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucune preuve d'exploitation active n'est publiquement disponible, mais la simplicité de l'exploitation suggère un risque potentiel. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Web applications utilizing phpTransformer versions 2016.9 through 2016.9 are at risk. This includes applications that rely on phpTransformer for image processing or other file manipulation tasks. Shared hosting environments where multiple users share the same server are particularly vulnerable, as a compromise of one application could potentially expose files belonging to other users.
• php: Examine access logs for requests containing traversal sequences like '../' in the path parameter.
grep '../' /var/log/apache2/access.log• php: Check for unusual file access patterns in server logs.
journalctl -u apache2 | grep -i "file not found"• generic web: Use curl to test the jQueryFileUploadmaster endpoint with various traversal sequences.
curl 'http://your-server/jqueryFileUploadmaster?path=../../../../../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
3.31% (percentile 87%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour phpTransformer vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à restreindre l'accès au serveur jQueryFileUploadmaster via un pare-feu ou un proxy inverse. Il est également possible de configurer le serveur web pour interdire les requêtes contenant des séquences de parcours de répertoire (par exemple, en utilisant des règles WAF). Après la mise à jour, vérifiez l'intégrité des fichiers phpTransformer pour confirmer que la correction a été correctement appliquée.
Actualizar phpTransformer a una versión parcheada o eliminar el software. La vulnerabilidad permite el acceso a archivos arbitrarios, por lo que es crucial tomar medidas inmediatas para proteger el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25579 is a vulnerability in phpTransformer versions 2016.9–2016.9 that allows attackers to access arbitrary files by manipulating the path parameter.
If you are using phpTransformer version 2016.9, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of phpTransformer. If upgrading is not immediately feasible, implement strict input validation and consider WAF rules as temporary mitigations.
There is currently no confirmed evidence of active exploitation, but the vulnerability's simplicity makes it a potential target.
Refer to the relevant security advisories and announcements from the phpTransformer project or related security communities for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.