Plateforme
php
Composant
chyrp-lite
Corrigé dans
2026.01
CVE-2026-35174 est une vulnérabilité de traversal de chemin critique découverte dans Chyrp Lite, un moteur de blog ultra-léger. Cette faille permet à un administrateur ou à un utilisateur disposant de l'autorisation de modifier les paramètres de télécharger des fichiers arbitraires sur le serveur, compromettant potentiellement la sécurité du système. Elle affecte les versions de Chyrp Lite antérieures à 2026.01 et une correction est disponible dans la version 2026.01.
La vulnérabilité CVE-2026-35174 dans Chyrp Lite expose un risque de traversée de chemin dans la console d'administration. Un administrateur ou un utilisateur disposant de la permission de modifier les paramètres peut modifier le chemin des uploads vers n'importe quel dossier sur le serveur. Cela permet à un attaquant de télécharger des fichiers arbitraires, y compris des fichiers de configuration sensibles tels que config.json.php contenant les informations d'identification de la base de données. Une exploitation réussie peut entraîner un accès non autorisé à la base de données, des violations de données et, potentiellement, l'exécution de code à distance en écrasant des fichiers système critiques. La gravité de cette vulnérabilité découle de la facilité d'exploitation et du potentiel de dommages importants au serveur et à ses données.
Cette vulnérabilité est exploitée via le panneau d'administration de Chyrp Lite. Un attaquant disposant de privilèges d'administrateur ou de la permission de 'Modifier les paramètres' peut manipuler le chemin de téléchargement pour qu'il pointe vers des emplacements arbitraires sur le système de fichiers du serveur. Une fois le chemin modifié, l'attaquant peut télécharger des fichiers sensibles, tels que des fichiers de configuration de base de données, ou écraser des fichiers système critiques, ce qui entraîne l'exécution de code à distance. La simplicité de l'exploitation, combinée au potentiel d'exposition des données et de compromission du système, fait de cette vulnérabilité une priorité élevée.
Small to medium-sized businesses and individuals using Chyrp Lite for their blogs are at significant risk. Shared hosting environments are particularly vulnerable, as a compromised Chyrp Lite installation could potentially impact other websites hosted on the same server. Legacy Chyrp Lite installations that have not been regularly updated are also at increased risk.
• linux / server:
find /var/www/chyrp/ -name 'config.json.php' -print• generic web:
curl -I http://your-chyrp-site.com/admin/settings.php?uploads_path=../../../../etc/passwd• php:
Check the uploads_path configuration setting in the settings.php file for suspicious paths containing ../ sequences.
disclosure
Statut de l'Exploit
EPSS
0.46% (percentile 64%)
CISA SSVC
Vecteur CVSS
L'atténuation recommandée est de mettre à jour Chyrp Lite vers la version 2026.01 ou ultérieure, qui inclut une correction pour cette vulnérabilité. En attendant que la mise à jour soit appliquée, restreignez l'accès à la console d'administration aux seuls utilisateurs de confiance et examinez attentivement toute modification apportée aux paramètres de téléchargement. La mise en œuvre de contrôles d'accès robustes et la surveillance de l'activité du serveur à la recherche d'un comportement suspect peuvent également aider à réduire le risque. La correction rapide est essentielle pour protéger votre installation Chyrp Lite contre d'éventuelles compromissions.
Actualice Chyrp Lite a la versión 2026.01 o posterior para corregir la vulnerabilidad de recorrido de ruta. Verifique y restrinja los permisos de usuario para evitar que los usuarios no autorizados modifiquen la ruta de carga. Implemente una validación de entrada robusta para evitar la manipulación de la ruta de carga.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Chyrp Lite est un moteur de blog ultra léger et facile à utiliser.
La version 2026.01 traite la CVE-2026-35174, une vulnérabilité de traversée de chemin qui pourrait permettre un accès non autorisé aux fichiers et une exécution potentielle de code.
Restreignez l'accès au panneau d'administration et surveillez l'activité du serveur.
Fichiers de configuration de base de données (comme config.json.php) et fichiers système critiques.
Si vous utilisez une version antérieure à 2026.01, votre installation est vulnérable.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.