Platform
php
Component
clipbucket-v5
Opgelost in
5.5.2
CVE-2025-21622 beschrijft een Path Traversal kwetsbaarheid in ClipBucket, een open-source video hosting platform. Deze kwetsbaarheid stelt een aanvaller in staat om, via het avatar upload proces, bestanden buiten de beoogde avatars directory te verwijderen. De kwetsbaarheid treft ClipBucket versies tot en met 5.5.1 - 237. Een fix is beschikbaar in versie 5.5.1 - 237.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde bestand verwijdering op de server. Een aanvaller kan potentieel kritieke systeembestanden of configuratiebestanden verwijderen, wat resulteert in een Denial of Service (DoS) of zelfs compromittering van de hele server. De kwetsbaarheid ontstaat doordat ClipBucket geen validatie uitvoert op de gebruikersinvoer (avatar_url) voordat deze wordt gebruikt om een bestand te verwijderen. Dit maakt het mogelijk voor een aanvaller om path traversal sequences te injecteren en bestanden buiten de avatars directory te verwijderen. Dit is vergelijkbaar met kwetsbaarheden waarbij een aanvaller paden kan manipuleren om toegang te krijgen tot gevoelige bronnen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-01-07. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst PoCs zullen verschijnen. De KEV status is momenteel onbekend. Het is belangrijk om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te patchen.
ClipBucket installations, particularly those running older versions (5.5.1 and below), are at risk. Shared hosting environments where multiple users share the same ClipBucket instance are especially vulnerable, as a compromised user account could be used to exploit the vulnerability and impact other users. Legacy configurations with permissive file upload settings also increase the risk.
• linux / server:
find /var/www/clipbucket/avatars -type f -name '*..*' 2>/dev/null # Check for files with suspicious names• generic web:
curl -I 'http://your-clipbucket-site.com/avatars/../../../../etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
1.27% (79% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van ClipBucket naar versie 5.5.1 - 237, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) regel die path traversal sequences in de avatar_url parameter blokkeert. Controleer de serverconfiguratie om te zorgen dat de avatars directory correct is beveiligd en dat er geen onnodige rechten zijn verleend aan de webserver gebruiker. Na de upgrade, verifieer de fix door een poging te wagen om een bestand buiten de avatars directory te verwijderen via het avatar upload proces; dit zou moeten mislukken.
Actualice ClipBucket a la versión 5.5.1 - 237 o superior. Esta versión corrige la vulnerabilidad de path traversal en la función de eliminación de avatares. La actualización evitará la eliminación de archivos fuera del directorio de avatares.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-21622 is a Path Traversal vulnerability in ClipBucket versions 5.5.1 and earlier, allowing attackers to delete files by manipulating the avatar upload URL.
You are affected if you are running ClipBucket version 5.5.1 or earlier. Upgrade to version 5.5.1 - 237 to resolve the issue.
Upgrade ClipBucket to version 5.5.1 - 237. As a temporary workaround, implement a WAF rule to block requests with path traversal sequences in the avatar URL.
As of January 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the ClipBucket security advisories on their official website or GitHub repository for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.