Plateforme
other
Composant
crafty-controller
Corrigé dans
4.8.0
La vulnérabilité CVE-2026-0805 est une faille de traversal de chemin (Path Traversal) découverte dans le composant Configuration de Sauvegarde de Crafty Controller. Cette vulnérabilité permet à un attaquant authentifié à distance de manipuler des fichiers et potentiellement d'exécuter du code malveillant sur le système. Elle affecte les versions de Crafty Controller comprises entre 4.5.0 et 4.8.0 incluses. Une version corrigée, 4.8.0, est désormais disponible.
Un attaquant exploitant avec succès cette vulnérabilité pourrait obtenir un accès non autorisé aux fichiers sensibles du système, y compris les fichiers de configuration, les journaux et potentiellement les données des utilisateurs. La manipulation de ces fichiers pourrait permettre à l'attaquant de modifier le comportement de l'application, d'injecter du code malveillant ou de compromettre l'intégrité du système. La capacité d'exécution de code à distance amplifie considérablement le risque, permettant à l'attaquant de prendre le contrôle complet du serveur. Cette vulnérabilité présente un risque élevé en raison de sa facilité d'exploitation et de son impact potentiel.
La vulnérabilité CVE-2026-0805 a été rendue publique le 30 janvier 2026. Il n'y a pas d'indications d'une inclusion dans le KEV (Know Exploited Vulnerabilities) à ce jour. La disponibilité d'un proof-of-concept (POC) public n'est pas confirmée, mais la nature de la vulnérabilité de traversal de chemin la rend relativement facile à exploiter. Une surveillance continue est recommandée pour détecter toute activité d'exploitation.
Organizations utilizing Crafty Controller versions 4.5.0 through 4.8.0, particularly those with remote access enabled or lacking robust authentication controls, are at risk. Shared hosting environments where multiple users share the same Crafty Controller instance are also particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Crafty Controller vers la version 4.8.0, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au composant Configuration de Sauvegarde aux utilisateurs authentifiés et autorisés uniquement. Implémentez des règles de pare-feu applicatif (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (par exemple, '..'). Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité du système en effectuant un test de pénétration pour confirmer que la vulnérabilité a été corrigée.
Actualice Crafty Controller a la versión 4.8.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización mitigará el riesgo de manipulación de archivos y ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-0805 is a Path Traversal vulnerability in Crafty Controller versions 4.5.0–4.8.0, allowing attackers to access files outside the intended directory and potentially execute code.
If you are using Crafty Controller versions 4.5.0 through 4.8.0, you are potentially affected by this vulnerability. Upgrade to version 4.8.0 to mitigate the risk.
The recommended fix is to upgrade Crafty Controller to version 4.8.0 or later. If immediate upgrade isn't possible, implement temporary workarounds like restricting access and input validation.
Currently, there are no publicly known active exploitation campaigns for CVE-2026-0805, but it's crucial to apply the patch promptly.
Refer to the official Crafty Controller security advisory for detailed information and updates regarding CVE-2026-0805.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.