Platform
go
Component
github.com/flipped-aurora/gin-vue-admin
Opgelost in
2.8.8
2.8.8
CVE-2026-22786 beschrijft een Path Traversal kwetsbaarheid in Gin-vue-admin, een Go-gebaseerd project. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige bestanden op het systeem te uploaden, wat kan leiden tot compromittering van de server. De kwetsbaarheid treft versies van Gin-vue-admin vóór 2.8.8. Een patch is beschikbaar in versie 2.8.8.
De Path Traversal kwetsbaarheid in Gin-vue-admin stelt een aanvaller in staat om bestanden buiten de beoogde upload directory te plaatsen. Dit kan leiden tot het overschrijven van kritieke systeembestanden, het uploaden van kwaadaardige code (zoals een webshell) of het blootleggen van gevoelige informatie. Een succesvolle exploitatie kan resulteren in volledige controle over de server. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de bestandsstructuur kan navigeren en bestanden kan manipuleren. De ernst van de impact hangt af van de privileges van de gebruiker die de upload uitvoert en de gevoeligheid van de bestanden die op de server staan.
CVE-2026-22786 is openbaar bekend en de kwetsbaarheid is relatief eenvoudig te exploiteren. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid op het moment van publicatie. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CISA KEV catalogus is nog niet bekend.
Organizations using Gin-vue-admin in production environments, particularly those with sensitive data or critical applications, are at risk. Environments with weak file upload validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users have upload capabilities also face increased risk.
• go / server:
find /var/log/gin-vue-admin -type f -name '*.log' -print0 | xargs -0 grep -i 'file upload'• generic web:
curl -I <target_url>/upload | grep 'Content-Type'disclosure
Exploit Status
EPSS
0.59% (69% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-22786 is het upgraden naar Gin-vue-admin versie 2.8.8 of hoger. Indien een upgrade momenteel niet mogelijk is, implementeer dan strikte beperkingen op de upload directory. Valideer alle bestandsnamen grondig om ervoor te zorgen dat ze geen pad traversal karakters (zoals '..' of '/') bevatten. Gebruik een Web Application Firewall (WAF) om verdachte upload verzoeken te blokkeren. Configureer uw server om bestandsuploads te beperken tot specifieke bestandstypen en -groottes. Monitor upload logs op ongebruikelijke activiteiten.
Actualice Gin-vue-admin a una versión posterior a la 2.8.7 que contenga la corrección para la vulnerabilidad de path traversal. Consulte el advisory de seguridad en GitHub para obtener más detalles y la versión corregida.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22786 is a Path Traversal vulnerability in Gin-vue-admin versions before 2.8.8, allowing attackers to upload arbitrary files.
You are affected if you are using Gin-vue-admin versions prior to 2.8.8. Upgrade immediately to mitigate the risk.
Upgrade to version 2.8.8 or later. As a temporary workaround, restrict upload paths and validate filenames.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is likely to become a target.
Refer to the official Gin-vue-admin project repository and release notes for the latest security advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.