Plateforme
php
Composant
trek
Corrigé dans
2.7.3
La vulnérabilité CVE-2026-40184 affecte le planificateur de voyage collaboratif TREK. Avant la version 2.7.2, TREK servait les photos téléchargées sans exiger d'authentification, permettant un accès non autorisé. Cette faille est corrigée dans la version 2.7.2. Il est fortement recommandé de mettre à jour l'application dès que possible pour atténuer ce risque.
Cette vulnérabilité de contournement d'authentification permet à un attaquant d'accéder aux photos téléchargées par les utilisateurs de TREK sans avoir besoin d'un compte ou d'une autorisation. L'impact principal réside dans la divulgation potentielle d'informations sensibles ou privées contenues dans ces photos. Bien que la CVSS soit classée comme faible, la facilité d'exploitation et la nature potentiellement sensible des données concernées justifient une action rapide. Un attaquant pourrait potentiellement collecter un grand nombre de photos, les utiliser à des fins malveillantes (chantage, diffamation) ou les utiliser pour reconstituer des informations sur les utilisateurs de TREK.
La vulnérabilité a été rendue publique le 2026-04-10. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publiquement disponibles. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La faible CVSS indique une probabilité d'exploitation relativement faible, mais la simplicité de l'exploitation ne doit pas être sous-estimée.
Organizations and individuals using TREK for collaborative travel planning, particularly those relying on the platform to store sensitive travel information or personal photos, are at risk. Shared hosting environments where multiple TREK instances reside are also potentially vulnerable, as a compromise of one instance could expose photos from others.
• generic web:
curl -I https://your-trek-instance.com/uploads/photo.jpgIf the response returns a 200 OK status without requiring authentication, the vulnerability may be present. • generic web:
grep -r 'uploads/photo.jpg' /var/log/apache2/access.logLook for access attempts to the photo upload directory from unauthorized IP addresses.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour TREK vers la version 2.7.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à restreindre l'accès aux photos téléchargées en configurant des règles de pare-feu ou de proxy pour bloquer les requêtes non authentifiées. Il est également recommandé de surveiller les journaux d'accès pour détecter toute activité suspecte, comme des requêtes répétées vers les fichiers de photos sans authentification. Après la mise à jour, vérifiez que les photos ne sont plus accessibles sans authentification.
Mettez à jour TREK à la version 2.7.2 ou ultérieure pour éviter l'accès non authentifié aux fichiers téléchargés. Cette mise à jour corrige la vulnérabilité en exigeant une authentification pour accéder aux photos téléchargées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40184 is a vulnerability in TREK versions 1.0.0 through 2.7.2 that allows unauthorized access to uploaded photos, potentially exposing sensitive travel data.
If you are using TREK version 1.0.0 through 2.7.2, you are potentially affected by this vulnerability. Upgrade to 2.7.2 to mitigate the risk.
Upgrade TREK to version 2.7.2 or later. As a temporary workaround, restrict access to the photo storage directory through web server configuration.
There are currently no known active exploits for CVE-2026-40184, but the ease of access to the files means it could be exploited opportunistically.
Refer to the TREK project's official website or security announcements for the advisory related to CVE-2026-40184.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.