プラットフォーム
php
コンポーネント
chyrp-lite
修正版
2026.01
CVE-2026-35174 describes a critical Remote Code Execution (RCE) vulnerability discovered in Chyrp Lite, an ultra-lightweight blogging engine. This flaw allows attackers to leverage a path traversal vulnerability within the administration console to gain unauthorized access and potentially execute arbitrary code on the server. The vulnerability impacts versions 0.0.0 through 2026.00, and a fix is available in version 2026.01.
Chyrp LiteのCVE-2026-35174は、管理コンソール内のパス・トラバーサル脆弱性を抱えています。管理者または「設定変更」権限を持つユーザーは、アップロードパスをサーバー上の任意のフォルダーに変更できます。これにより、攻撃者はconfig.json.phpのような機密性の高い設定ファイルをデータベースの認証情報を含む、任意のファイルをダウンロードできます。この脆弱性が悪用されると、データベースへの不正アクセス、データ漏洩、および重要なシステムファイルを上書きすることでリモートコード実行が発生する可能性があります。この脆弱性の深刻度は、悪用の容易さと、サーバーおよびそのデータへの潜在的な損害の大きさから生じます。
この脆弱性は、Chyrp Liteの管理パネルを通じて悪用されます。管理者権限または「設定変更」権限を持つ攻撃者は、アップロードパスをサーバーのファイルシステム上の任意の場所に指すように操作できます。パスが変更されると、攻撃者はデータベース構成ファイルのような機密性の高いファイルをダウンロードしたり、重要なシステムファイルを上書きしたりして、リモートコード実行につながる可能性があります。悪用の容易さと、データ暴露とシステム侵害の可能性が組み合わさることで、この脆弱性は高優先度のものとなっています。
Small to medium-sized businesses and individuals using Chyrp Lite for their blogs are at significant risk. Shared hosting environments are particularly vulnerable, as a compromised Chyrp Lite installation could potentially impact other websites hosted on the same server. Legacy Chyrp Lite installations that have not been regularly updated are also at increased risk.
• linux / server:
find /var/www/chyrp/ -name 'config.json.php' -print• generic web:
curl -I http://your-chyrp-site.com/admin/settings.php?uploads_path=../../../../etc/passwd• php:
Check the uploads_path configuration setting in the settings.php file for suspicious paths containing ../ sequences.
disclosure
エクスプロイト状況
EPSS
0.46% (64% パーセンタイル)
CISA SSVC
推奨される軽減策は、Chyrp Liteをバージョン2026.01以降に更新することです。このバージョンには、この脆弱性を修正する修正が含まれています。更新が適用されるまで、管理コンソールへのアクセスを信頼できるユーザーのみに制限し、アップロード設定への変更を注意深く確認してください。堅牢なアクセス制御を実装し、サーバーアクティビティを不審な動作がないか監視することも、リスクを軽減するのに役立ちます。潜在的な侵害からChyrp Liteのインストールを保護するために、迅速なパッチ適用が不可欠です。
Actualice Chyrp Lite a la versión 2026.01 o posterior para corregir la vulnerabilidad de recorrido de ruta. Verifique y restrinja los permisos de usuario para evitar que los usuarios no autorizados modifiquen la ruta de carga. Implemente una validación de entrada robusta para evitar la manipulación de la ruta de carga.
脆弱性分析と重要アラートをメールでお届けします。
Chyrp Liteは、超軽量で使いやすいブログエンジンです。
バージョン2026.01は、CVE-2026-35174を修正します。これは、不正なファイルアクセスと潜在的なコード実行を可能にするパス・トラバーサル脆弱性です。
管理パネルへのアクセスを制限し、サーバーアクティビティを監視してください。
データベース構成ファイル(config.json.phpのような)と重要なシステムファイル。
2026.01より前のバージョンを使用している場合、インストールは脆弱です。
CVSS ベクトル