Platform
php
Component
chyrp-lite
Opgelost in
2026.01
CVE-2026-35174 is een path traversal kwetsbaarheid in de administratieconsole van Chyrp Lite, een ultra-lichtgewicht blogging engine. Deze kwetsbaarheid stelt een administrator of gebruiker met Change Settings permissies in staat om de uploads-pad te wijzigen naar elke willekeurige map, waardoor gevoelige bestanden kunnen worden gedownload en kritieke systeembestanden kunnen worden overschreven. De kwetsbaarheid treft versies van Chyrp Lite 0.0.0 tot en met < 2026.01, maar is verholpen in versie 2026.01.
CVE-2026-35174 in Chyrp Lite onthult een path traversal-risico in de beheerdersconsole. Een beheerder of een gebruiker met de machtiging om instellingen te wijzigen, kan het uploadpad naar elke map op de server wijzigen. Dit stelt een aanvaller in staat om willekeurige bestanden te downloaden, waaronder gevoelige configuratiebestanden zoals config.json.php die databasegegevens bevatten. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot de database, datalekken en mogelijk tot remote code execution door kritieke systeembestanden te overschrijven. De ernst van deze kwetsbaarheid vloeit voort uit de eenvoud van exploitatie en het potentiële letsel aan de server en de gegevens ervan.
Deze kwetsbaarheid wordt uitgebuit via het Chyrp Lite-beheerderspaneel. Een aanvaller met beheerdersrechten of de machtiging om 'Instellingen te wijzigen' kan het uploadpad manipuleren om te verwijzen naar willekeurige locaties op het bestandssysteem van de server. Zodra het pad is gewijzigd, kan de aanvaller gevoelige bestanden, zoals databaseconfiguratiebestanden, downloaden of kritieke systeembestanden overschrijven, wat leidt tot remote code execution. De eenvoud van exploitatie, gecombineerd met het potentieel voor data exposure en systeemcompromissatie, maakt dit een hoog-prioritaire kwetsbaarheid.
Small to medium-sized businesses and individuals using Chyrp Lite for their blogs are at significant risk. Shared hosting environments are particularly vulnerable, as a compromised Chyrp Lite installation could potentially impact other websites hosted on the same server. Legacy Chyrp Lite installations that have not been regularly updated are also at increased risk.
• linux / server:
find /var/www/chyrp/ -name 'config.json.php' -print• generic web:
curl -I http://your-chyrp-site.com/admin/settings.php?uploads_path=../../../../etc/passwd• php:
Check the uploads_path configuration setting in the settings.php file for suspicious paths containing ../ sequences.
disclosure
Exploit Status
EPSS
0.46% (64% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie is om Chyrp Lite bij te werken naar versie 2026.01 of hoger, die een fix bevat voor deze kwetsbaarheid. Totdat de update is toegepast, beperk de toegang tot de beheerdersconsole tot vertrouwde gebruikers en controleer zorgvuldig alle wijzigingen die aan uploadinstellingen zijn aangebracht. Het implementeren van robuuste toegangscontroles en het monitoren van de serveractiviteit op verdacht gedrag kan ook helpen het risico te verminderen. Snelle patching is cruciaal om uw Chyrp Lite-installatie te beschermen tegen mogelijke compromissen.
Actualice Chyrp Lite a la versión 2026.01 o posterior para corregir la vulnerabilidad de recorrido de ruta. Verifique y restrinja los permisos de usuario para evitar que los usuarios no autorizados modifiquen la ruta de carga. Implemente una validación de entrada robusta para evitar la manipulación de la ruta de carga.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Chyrp Lite is een ultra-lichte en gebruiksvriendelijke blog engine.
Versie 2026.01 behandelt CVE-2026-35174, een path traversal-kwetsbaarheid die ongeautoriseerde bestands toegang en potentiële code-uitvoering mogelijk zou kunnen maken.
Beperk de toegang tot het admin-paneel en monitor de serveractiviteit.
Databaseconfiguratiebestanden (zoals config.json.php) en kritieke systeembestanden.
Als u een versie gebruikt die vóór 2026.01 is, is uw installatie kwetsbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.