Plateforme
go
Composant
github.com/flipped-aurora/gin-vue-admin
Corrigé dans
2.8.8
2.8.8
La vulnérabilité CVE-2026-22786 est une faille de traversal de chemin (Path Traversal) présente dans le projet Gin-vue-admin, un framework d'administration basé sur Go. Cette faille permet à un attaquant de contourner les contrôles de sécurité et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions antérieures à 2.8.8 et peut être corrigée en mettant à jour vers la version 2.8.8 ou en implémentant des mesures de protection supplémentaires.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de télécharger des fichiers arbitraires sur le serveur, potentiellement compromettant l'intégrité et la confidentialité des données. Un attaquant pourrait, par exemple, télécharger un script malveillant, remplacer des fichiers de configuration, ou accéder à des informations sensibles stockées sur le système de fichiers. Le risque est exacerbé si le serveur est exposé publiquement ou si des comptes avec des privilèges élevés sont compromis. Cette vulnérabilité pourrait mener à une prise de contrôle complète du serveur.
La vulnérabilité CVE-2026-22786 a été rendue publique le 23 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de sa présence dans le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, rendant l'exploitation plus accessible. Il est donc crucial de prendre des mesures de mitigation rapidement.
Organizations using Gin-vue-admin in production environments, particularly those with sensitive data or critical applications, are at risk. Environments with weak file upload validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users have upload capabilities also face increased risk.
• go / server:
find /var/log/gin-vue-admin -type f -name '*.log' -print0 | xargs -0 grep -i 'file upload'• generic web:
curl -I <target_url>/upload | grep 'Content-Type'disclosure
Statut de l'Exploit
EPSS
0.59% (percentile 69%)
CISA SSVC
La mitigation principale consiste à mettre à jour Gin-vue-admin vers la version 2.8.8 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est fortement recommandé de configurer des restrictions d'accès au système de fichiers, en limitant les répertoires accessibles au processus de l'application. De plus, l'implémentation d'une politique de sécurité stricte pour les téléchargements de fichiers, incluant la validation du type de fichier et de la taille, peut réduire le risque d'exploitation. Vérifiez après la mise à jour que le téléchargement de fichiers est correctement restreint et que les permissions sont configurées de manière sécurisée.
Actualice Gin-vue-admin a una versión posterior a la 2.8.7 que contenga la corrección para la vulnerabilidad de path traversal. Consulte el advisory de seguridad en GitHub para obtener más detalles y la versión corregida.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22786 is a Path Traversal vulnerability in Gin-vue-admin versions before 2.8.8, allowing attackers to upload arbitrary files.
You are affected if you are using Gin-vue-admin versions prior to 2.8.8. Upgrade immediately to mitigate the risk.
Upgrade to version 2.8.8 or later. As a temporary workaround, restrict upload paths and validate filenames.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is likely to become a target.
Refer to the official Gin-vue-admin project repository and release notes for the latest security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.