Platform
other
Component
home-gallery
Opgelost in
1.21.1
CVE-2026-28679 beschrijft een Path Traversal kwetsbaarheid in HomeGallery, een open-source webgalerie voor het bekijken van persoonlijke foto's en video's. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige systeembestanden te downloaden door het misbruiken van de downloadfunctionaliteit. De kwetsbaarheid treft versies van HomeGallery tot en met 1.21.0. Een patch is beschikbaar in versie 1.21.0.
Deze Path Traversal kwetsbaarheid in HomeGallery maakt het mogelijk voor een aanvaller om bestanden buiten de toegestane mediabron te benaderen en te downloaden. Dit betekent dat gevoelige systeembestanden, configuratiebestanden of zelfs broncode van de applicatie in handen van de aanvaller kunnen vallen. De impact kan variëren van informatieverlies tot het compromitteren van de hele server waarop HomeGallery draait. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot de server en de mogelijkheid om kwaadaardige code uit te voeren, afhankelijk van de rechten van de gebruiker die de applicatie uitvoert.
Op dit moment is er geen publieke exploitatie van CVE-2026-28679 bekend. De kwetsbaarheid is openbaar gemaakt op 6 maart 2026. Er is geen vermelding op de CISA KEV catalogus. Het is aan te raden om de kwetsbaarheid serieus te nemen en zo snel mogelijk te patchen, aangezien de beschikbaarheid van een proof-of-concept (POC) de exploitatiekans aanzienlijk kan verhogen.
Organizations and individuals using self-hosted instances of HomeGallery, particularly those with legacy configurations or inadequate file permission settings, are at risk. Shared hosting environments where multiple users share the same server are also potentially vulnerable if HomeGallery is installed.
disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28679 is het upgraden van HomeGallery naar versie 1.21.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de downloadfunctionaliteit via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken met verdachte paden te blokkeren. Controleer de configuratie van HomeGallery om te zorgen dat de mediabron correct is ingesteld en dat er geen onbedoelde paden toegankelijk zijn. Na de upgrade, controleer de logbestanden op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door een poging te wagen om een bestand buiten de toegestane mediabron te downloaden.
Actualiseer HomeGallery naar versie 1.21.0 of hoger. Deze versie corrigeert de path traversal kwetsbaarheid die het lezen van willekeurige bestanden mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28679 is a Path Traversal vulnerability affecting HomeGallery versions prior to 1.21.0, allowing attackers to potentially download sensitive system files.
You are affected if you are using HomeGallery version 1.21.0 or earlier. Upgrade to 1.21.0 to resolve the vulnerability.
Upgrade HomeGallery to version 1.21.0. As a temporary workaround, implement a WAF rule to block suspicious path traversal patterns.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the HomeGallery project's official website and security advisories for the latest information: https://home-gallery.org/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.