Plateforme
php
Composant
clipbucket-v5
Corrigé dans
5.5.2
La vulnérabilité CVE-2025-21622 est une faille de traversal de chemin (Path Traversal) affectant ClipBucket, une plateforme d'hébergement vidéo open source en PHP. Cette faille permet à un attaquant de supprimer des fichiers arbitraires sur le serveur. Elle concerne les versions de ClipBucket inférieures ou égales à 5.5.1 - 237. Une mise à jour vers la version 5.5.1 - 237 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de supprimer des fichiers sensibles sur le serveur ClipBucket. En manipulant l'URL de l'avatar utilisateur, un attaquant peut injecter des séquences de traversal de chemin, contournant ainsi les contrôles de sécurité et accédant à des fichiers en dehors du répertoire d'avatars prévu. Cela pourrait conduire à la suppression de fichiers de configuration, de scripts essentiels ou même de données de base de données, compromettant ainsi l'intégrité et la disponibilité de l'application. Un attaquant pourrait potentiellement prendre le contrôle du serveur en supprimant des composants critiques du système.
Cette vulnérabilité a été rendue publique le 7 janvier 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention dans le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. La CVSS score de 7.5 (HIGH) indique une probabilité d'exploitation significative.
ClipBucket installations, particularly those running older versions (5.5.1 and below), are at risk. Shared hosting environments where multiple users share the same ClipBucket instance are especially vulnerable, as a compromised user account could be used to exploit the vulnerability and impact other users. Legacy configurations with permissive file upload settings also increase the risk.
• linux / server:
find /var/www/clipbucket/avatars -type f -name '*..*' 2>/dev/null # Check for files with suspicious names• generic web:
curl -I 'http://your-clipbucket-site.com/avatars/../../../../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
1.27% (percentile 79%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour ClipBucket vers la version 5.5.1 - 237, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place. Il est recommandé de restreindre les droits d'écriture du répertoire d'avatars au strict minimum. L'implémentation d'une validation stricte des URL d'avatars, en s'assurant qu'elles ne contiennent pas de séquences de traversal de chemin, est également cruciale. L'utilisation d'un Web Application Firewall (WAF) capable de détecter et de bloquer les tentatives de traversal de chemin peut fournir une couche de protection supplémentaire. Après la mise à jour, vérifiez que l'avatar utilisateur peut être correctement téléchargé et supprimé sans erreur.
Actualice ClipBucket a la versión 5.5.1 - 237 o superior. Esta versión corrige la vulnerabilidad de path traversal en la función de eliminación de avatares. La actualización evitará la eliminación de archivos fuera del directorio de avatares.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-21622 is a Path Traversal vulnerability in ClipBucket versions 5.5.1 and earlier, allowing attackers to delete files by manipulating the avatar upload URL.
You are affected if you are running ClipBucket version 5.5.1 or earlier. Upgrade to version 5.5.1 - 237 to resolve the issue.
Upgrade ClipBucket to version 5.5.1 - 237. As a temporary workaround, implement a WAF rule to block requests with path traversal sequences in the avatar URL.
As of January 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the ClipBucket security advisories on their official website or GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.