Platform
php
Component
pmb
Opgelost in
5.6.1
CVE-2020-36970 beschrijft een lokaal bestandsonthullingslek in PMB versie 5.6. Dit lek stelt aanvallers in staat om willekeurige systeembestanden te lezen door de 'chemin' parameter in de getgif.php endpoint te manipuleren. Het lek kan leiden tot blootstelling van gevoelige informatie, zoals wachtwoorden en configuratiebestanden. De kwetsbaarheid beïnvloedt PMB versie 5.6 en een patch is beschikbaar.
Een succesvolle exploitatie van CVE-2020-36970 kan leiden tot ongeautoriseerde toegang tot gevoelige systeembestanden. Aanvallers kunnen de 'chemin' parameter in de getgif.php endpoint gebruiken om paden naar bestanden op het systeem te specificeren. Dit omvat potentieel kritieke bestanden zoals /etc/passwd, die gebruikerswachtwoorden in een gehashte vorm kunnen bevatten. De impact is aanzienlijk, omdat een aanvaller met toegang tot deze informatie de beveiliging van het hele systeem kan compromitteren. Dit kan leiden tot verdere aanvalsmogelijkheden, zoals het verkrijgen van root-toegang of het uitvoeren van willekeurige code. Het lek is vergelijkbaar met andere path traversal kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer de toegang tot gevoelige bestanden mogelijk maakt.
Er is geen informatie beschikbaar over actieve exploits of campagnes die specifiek gericht zijn op CVE-2020-36970. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico. Er zijn publieke proof-of-concept exploits beschikbaar, wat het risico op misbruik vergroot. De publicatiedatum van de CVE is 2026-01-28, wat suggereert dat de kwetsbaarheid relatief recent is ontdekt.
Organizations using PMB 5.6, particularly those hosting the application on shared hosting environments or with limited security controls, are at significant risk. Systems with misconfigured file permissions or where the web server process has elevated privileges are also more vulnerable.
• php / web:
grep -r 'chemin=' /var/www/html/getgif.php• php / web: Check web server access logs for requests to getgif.php with unusual or suspicious values in the chemin parameter.
• generic web: Use curl to test the getgif.php endpoint with various file paths to see if sensitive files can be accessed.
curl 'http://your-pmb-server/getgif.php?chemin=/etc/passwd'disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2020-36970 is het upgraden naar een beveiligde versie van PMB waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de getgif.php endpoint via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met verdachte padmanipulaties te blokkeren. Controleer de configuratie van PMB om te verzekeren dat de directory waarin getgif.php zich bevindt, niet toegankelijk is voor ongeautoriseerde gebruikers. Na de upgrade, verifieer de fix door een poging te doen om een willekeurig bestand te lezen via de 'chemin' parameter en controleer of de toegang wordt geweigerd.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la divulgación de archivos locales. Validar y sanitizar correctamente la entrada del parámetro 'chemin' para evitar el acceso a archivos no autorizados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-36970 is a vulnerability in PMB 5.6 that allows attackers to read arbitrary system files by manipulating the 'chemin' parameter in getgif.php.
If you are running PMB version 5.6, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of PMB. If upgrading is not immediately possible, implement temporary workarounds like restricting access to getgif.php or validating the 'chemin' parameter.
There is currently no evidence of CVE-2020-36970 being actively exploited in the wild, but the vulnerability's simplicity suggests it could be exploited if discovered.
Refer to the PMB project's official website or security advisories for the latest information and updates regarding CVE-2020-36970.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.