Wildfire présente une Téléchargement de Fichiers Arbitraires via Traversal de Répertoire dans UploadFileAction

L'exploitation de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de lire, voire de modifier, des fichiers situés en dehors du répertoire d'upload prévu. En manipulant le nom de fichier lors de l'upload, un attaquant peut utiliser des séquences de traversal de répertoire (comme '../') pour accéder à des fichiers arbitraires sur le système de fichiers du serveur. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des données utilisateur, ou même des exécutables. Le risque est d'une perte de confidentialité, d'intégrité et de disponibilité des données stockées sur le serveur Wildfire IM. Une compromission réussie pourrait permettre un accès complet au système.

Organizations using Wildfire IM Server in production environments, particularly those with publicly accessible file upload endpoints, are at risk. Environments with limited security controls or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a compromised user account could potentially be used to exploit this vulnerability.

• linux / server: Monitor access logs for requests containing ../ sequences in the filename parameter during file uploads. Use grep to search for patterns like /fs?file=../ in the access logs.

grep '/fs?file=../' /var/log/apache2/access.log

• generic web: Use curl to attempt a file upload with a malicious filename and observe the server's response. Check for unexpected file access or errors.

curl -F "file=../../../../etc/passwd;" http://your-wildfire-server/fs

• generic web: Examine the server's file system for unexpected files appearing outside of the intended upload directory. Use file system auditing tools to track file creation and modification events.

1. 2026-02-02Disclosure

   disclosure

1. Réservé2025-12-02
2. Publiée2026-02-02
3. Modifiée2026-02-03
4. EPSS mis à jour2026-03-23

La mitigation immédiate consiste à mettre à jour Wildfire IM Server vers la version 1.4.3 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès à l'endpoint /fs via un pare-feu ou un proxy inverse. Configurez des règles strictes pour limiter les adresses IP autorisées à accéder à cette fonctionnalité. Surveillez attentivement les journaux du serveur pour détecter toute tentative d'upload de fichiers avec des noms suspects contenant des séquences de traversal de répertoire. Il n'existe pas de signature Sigma ou YARA spécifique connue pour cette vulnérabilité, mais une analyse comportementale des uploads de fichiers est recommandée.