プラットフォーム
php
コンポーネント
talishar
修正版
6.0.1
CVE-2026-28429は、ファンメイドのFlesh and BloodプロジェクトであるTalisharにおけるPath Traversalの脆弱性です。ゲーム名パラメータの処理に不備があり、ParseGamestate.phpコンポーネントがスタンドアロンのスクリプトとして直接アクセスされる場合、ディレクトリトラバーサル攻撃(../など)によって不正なファイルアクセスが可能になる可能性があります。影響を受けるバージョンは、6be3871a14c192d1fb8146cdbc76f29f27c1cf48以前です。コミット6be3871で脆弱性が修正されました。
このPath Traversal脆弱性は、攻撃者がTalisharのファイルシステムを探索し、機密情報を含むファイルを読み取ることを可能にします。攻撃者は、ParseGamestate.phpコンポーネントを直接アクセスすることで、内部の入力検証を回避し、ディレクトリトラバーサルシーケンスを送信できます。これにより、Webサーバーのルートディレクトリや、アプリケーションの設定ファイルなど、通常アクセスできないファイルにアクセスできる可能性があります。攻撃者は、取得した情報を使用して、さらなる攻撃を仕掛けたり、システムの機密性を侵害したりする可能性があります。この脆弱性は、機密情報の漏洩や、システムの完全性の低下につながる可能性があります。
この脆弱性は、2026年3月6日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Talisharのファイルシステムを探索し、機密情報を盗み出す可能性があります。この脆弱性は、特にTalisharを直接公開している環境において、攻撃のリスクが高まる可能性があります。
This vulnerability primarily affects users who are running vulnerable versions of Talishar, particularly those who have exposed the ParseGamestate.php script directly to the internet. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• php: Examine web server access logs for requests containing directory traversal sequences (e.g., ../).
• php: Search for the ParseGamestate.php file in the webroot and verify that it is not directly accessible.
• generic web: Use curl to test for directory traversal:
curl 'http://your-talishar-server/ParseGamestate.php?gameName=../../../../etc/passwd'• generic web: Monitor file integrity for critical system files to detect unauthorized modifications.
disclosure
エクスプロイト状況
EPSS
0.47% (64% パーセンタイル)
CISA SSVC
この脆弱性への主な対策は、Talisharをコミット6be3871a14c192d1fb8146cdbc76f29f27c1cf48以降のバージョンにアップデートすることです。アップデートが利用できない場合、ParseGamestate.phpへの直接アクセスを制限するWebアプリケーションファイアウォール(WAF)またはリバースプロキシの設定を検討してください。また、入力検証を強化し、ディレクトリトラバーサルシーケンスを適切にサニタイズすることで、攻撃のリスクを軽減できます。アップデート後、ParseGamestate.phpへのアクセスを試み、ファイルへの不正アクセスが発生しないことを確認してください。
Actualice Talishar a la versión con el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 o posterior. Esto corrige la vulnerabilidad de Path Traversal en el parámetro gameName.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-28429は、TalisharにおけるPath Traversalの脆弱性であり、ParseGamestate.phpコンポーネントを介してファイルへの不正アクセスを可能にする可能性があります。
Talisharのバージョンが6be3871a14c192d1fb8146cdbc76f29f27c1cf48以前の場合、この脆弱性に影響を受ける可能性があります。
Talisharをコミット6be3871a14c192d1fb8146cdbc76f29f27c1cf48以降のバージョンにアップデートしてください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。
Talisharのプロジェクトリポジトリまたは公式ウェブサイトでアドバイザリを確認してください。
CVSS ベクトル