Plateforme
php
Composant
talishar
Corrigé dans
6.0.1
Une vulnérabilité de type Path Traversal a été découverte dans Talishar, un projet fan-made pour le jeu Flesh and Blood. Cette faille, présente dans les versions antérieures à la correction 6be3871a14c192d1fb8146cdbc76f29f27c1cf48, permet à un attaquant d'accéder à des fichiers sensibles. La vulnérabilité se situe dans le paramètre gameName et a été corrigée dans la version 6be3871.
L'exploitation de cette vulnérabilité permet à un attaquant de contourner les mécanismes de validation d'entrée de l'application. En manipulant le paramètre gameName avec des séquences de traversal de chemin (comme ../), il est possible d'accéder à des fichiers situés en dehors du répertoire prévu. L'impact potentiel est la lecture de fichiers de configuration, de code source, ou d'autres données sensibles stockées sur le serveur. Bien que l'application dispose de mécanismes de validation, l'accès direct au composant ParseGamestate.php en tant que script autonome contourne ces protections, rendant l'exploitation plus aisée. La surface d'attaque est limitée au serveur hébergeant l'application Talishar.
Cette vulnérabilité a été rendue publique le 2026-03-06. Il n'y a pas d'indication d'exploitation active ou de PoC publics à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
This vulnerability primarily affects users who are running vulnerable versions of Talishar, particularly those who have exposed the ParseGamestate.php script directly to the internet. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• php: Examine web server access logs for requests containing directory traversal sequences (e.g., ../).
• php: Search for the ParseGamestate.php file in the webroot and verify that it is not directly accessible.
• generic web: Use curl to test for directory traversal:
curl 'http://your-talishar-server/ParseGamestate.php?gameName=../../../../etc/passwd'• generic web: Monitor file integrity for critical system files to detect unauthorized modifications.
disclosure
Statut de l'Exploit
EPSS
0.47% (percentile 64%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Talishar vers la version corrigée 6be3871a14c192d1fb8146cdbc76f29f27c1cf48. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès direct au script ParseGamestate.php. Cela peut être réalisé en configurant le serveur web pour interdire l'accès direct à ce fichier ou en ajoutant des règles de pare-feu applicatif (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin. En outre, une analyse des logs du serveur web peut aider à identifier les tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous que le script ParseGamestate.php n'est plus accessible directement.
Actualice Talishar a la versión con el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 o posterior. Esto corrige la vulnerabilidad de Path Traversal en el parámetro gameName.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28429 is a Path Traversal vulnerability in Talishar, allowing attackers to potentially access unauthorized files by manipulating the gameName parameter in ParseGamestate.php.
You are affected if you are using a version of Talishar prior to 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 and the ParseGamestate.php script is directly accessible.
Upgrade Talishar to version 6be3871 or later. Alternatively, restrict direct access to ParseGamestate.php and implement WAF rules to block directory traversal attempts.
No active exploitation has been confirmed at this time, but vigilance is still advised.
Refer to the project's repository or communication channels for the official advisory regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.