Platform
php
Component
talishar
Opgelost in
6.0.1
CVE-2026-28429 describes a Path Traversal vulnerability discovered in Talishar, a fan-made Flesh and Blood project. This vulnerability allows an attacker to potentially access unauthorized files by manipulating the gameName parameter. The issue is present in versions of Talishar prior to commit 6be3871 and has been resolved in that version.
De Path Traversal kwetsbaarheid in Talishar maakt het mogelijk voor een aanvaller om bestanden buiten de beoogde directory te benaderen. Dit kan leiden tot het lezen van gevoelige configuratiebestanden, broncode of andere data die niet voor externe toegang bedoeld is. Omdat de ParseGamestate.php component direct benaderbaar is als een standalone script, is de impact aanzienlijk. Een succesvolle exploitatie kan leiden tot data-exfiltratie en mogelijk tot verdere compromittering van het systeem, afhankelijk van de bestanden die benaderd kunnen worden.
Op dit moment is er geen informatie beschikbaar over actieve exploits of KEV-listing voor CVE-2026-28429. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-06.
This vulnerability primarily affects users who are running vulnerable versions of Talishar, particularly those who have exposed the ParseGamestate.php script directly to the internet. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• php: Examine web server access logs for requests containing directory traversal sequences (e.g., ../).
• php: Search for the ParseGamestate.php file in the webroot and verify that it is not directly accessible.
• generic web: Use curl to test for directory traversal:
curl 'http://your-talishar-server/ParseGamestate.php?gameName=../../../../etc/passwd'• generic web: Monitor file integrity for critical system files to detect unauthorized modifications.
disclosure
Exploit Status
EPSS
0.47% (64% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28429 is het upgraden van Talishar naar commit 6be3871, waarin de kwetsbaarheid is verholpen. Omdat Talishar een fan-made project is, is het belangrijk om de broncode te controleren en te zorgen voor een veilige configuratie. Er zijn geen specifieke WAF-regels of configuratiewerkarounds beschikbaar, aangezien de kwetsbaarheid inherent is aan de code. Na de upgrade, controleer de functionaliteit van de ParseGamestate.php component om te bevestigen dat de directory traversal preventie correct werkt.
Actualice Talishar a la versión con el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 o posterior. Esto corrige la vulnerabilidad de Path Traversal en el parámetro gameName.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28429 is a Path Traversal vulnerability in Talishar, allowing attackers to potentially access unauthorized files by manipulating the gameName parameter in ParseGamestate.php.
You are affected if you are using a version of Talishar prior to 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 and the ParseGamestate.php script is directly accessible.
Upgrade Talishar to version 6be3871 or later. Alternatively, restrict direct access to ParseGamestate.php and implement WAF rules to block directory traversal attempts.
No active exploitation has been confirmed at this time, but vigilance is still advised.
Refer to the project's repository or communication channels for the official advisory regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.