Plateforme
other
Composant
home-gallery
Corrigé dans
1.21.1
Une vulnérabilité de type Path Traversal a été découverte dans HomeGallery, une galerie web auto-hébergée open-source. Avant la version 1.21.0, l'application ne vérifie pas si le fichier demandé pour le téléchargement se trouve bien dans le répertoire des médias, ce qui permet à un attaquant de télécharger des fichiers système sensibles. Cette vulnérabilité est corrigée dans la version 1.21.0.
Cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de télécharger des fichiers arbitraires du système de fichiers du serveur. Cela peut inclure des fichiers de configuration, des clés privées, des données sensibles des utilisateurs ou même des fichiers exécutables. L'attaquant pourrait ainsi compromettre la confidentialité, l'intégrité et la disponibilité du serveur et des données qu'il contient. L'impact est amplifié si le serveur héberge plusieurs sites web ou applications, car l'attaquant pourrait potentiellement accéder à des données d'autres instances.
Cette vulnérabilité a été publiée le 6 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car la vulnérabilité est relativement simple à exploiter et pourrait être ciblée par des acteurs malveillants. Aucun PoC public n'est connu à ce jour.
Organizations and individuals using self-hosted instances of HomeGallery, particularly those with legacy configurations or inadequate file permission settings, are at risk. Shared hosting environments where multiple users share the same server are also potentially vulnerable if HomeGallery is installed.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour HomeGallery vers la version 1.21.0 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès au répertoire des médias via un pare-feu ou un serveur proxy. Il est également possible de configurer un Web Application Firewall (WAF) pour bloquer les requêtes contenant des caractères de navigation de chemin (../). Vérifiez également les permissions des fichiers et dossiers pour vous assurer qu'ils sont correctement configurés et limitent l'accès aux utilisateurs autorisés. Après la mise à jour, vérifiez que les fichiers sensibles ne sont plus accessibles via le téléchargement.
Actualice HomeGallery a la versión 1.21.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28679 is a Path Traversal vulnerability affecting HomeGallery versions prior to 1.21.0, allowing attackers to potentially download sensitive system files.
You are affected if you are using HomeGallery version 1.21.0 or earlier. Upgrade to 1.21.0 to resolve the vulnerability.
Upgrade HomeGallery to version 1.21.0. As a temporary workaround, implement a WAF rule to block suspicious path traversal patterns.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the HomeGallery project's official website and security advisories for the latest information: https://home-gallery.org/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.