Plateforme
other
Composant
crafty-controller
Corrigé dans
4.8.0
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le composant File Operations API Endpoint de Crafty Controller. Cette faille permet à un attaquant authentifié à distance de manipuler des fichiers et d'exécuter du code à distance. Les versions affectées sont 4.7.0 à 4.8.0 incluses. Une correction est disponible dans la version 4.8.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié à distance de contourner les contrôles d'accès et d'accéder à des fichiers sensibles sur le système. L'attaquant pourrait potentiellement lire, modifier ou supprimer des fichiers critiques, compromettant ainsi l'intégrité et la confidentialité des données. De plus, la possibilité d'exécution de code à distance ouvre la porte à une prise de contrôle complète du serveur, permettant à l'attaquant d'installer des logiciels malveillants, de voler des informations sensibles ou de lancer d'autres attaques. Le risque est significativement élevé en raison de la nature critique des données potentiellement accessibles et de la facilité potentielle d'exploitation.
Cette vulnérabilité est considérée comme critique en raison de son score CVSS de 9.9. Aucune preuve d'exploitation active n'a été signalée à ce jour, mais la nature de la vulnérabilité (contournement de chemin) la rend potentiellement exploitable. Il est conseillé de surveiller les sources d'informations sur les menaces et les forums de sécurité pour détecter toute nouvelle information concernant l'exploitation de cette vulnérabilité. La publication de la CVE a eu lieu le 2026-01-30.
Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Crafty Controller vers la version 4.8.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de renforcer les contrôles d'accès aux fichiers et de limiter les privilèges des utilisateurs. La configuration d'un pare-feu d'application web (WAF) avec des règles spécifiques pour bloquer les tentatives de contournement de chemin peut également aider à atténuer le risque. Surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte est également crucial.
Mettez à jour Crafty Controller à la version 4.8.0 ou supérieure. Cette version contient la correction pour la vulnérabilité de path traversal. La mise à jour atténuera le risque de falsification de fichiers et d'exécution de code à distance.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-0963 is a critical vulnerability allowing authenticated attackers to manipulate files and potentially execute code via path traversal in Crafty Controller's File Operations API Endpoint.
You are affected if you are using Crafty Controller versions 4.7.0 through 4.8.0 and have not upgraded to version 4.8.0 or later.
Upgrade Crafty Controller to version 4.8.0 or later. As a temporary workaround, restrict access to the API and implement strict input validation.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Crafty Controller security advisory for detailed information and updates regarding CVE-2026-0963.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.