Platform
php
Component
trek
Opgelost in
2.7.3
CVE-2026-40184 beschrijft een authenticatie-omzeilingsvulnerability in TREK, een collaboratieve reisplanner. Deze kwetsbaarheid stelt aanvallers in staat om geüploade foto's te bekijken zonder de noodzaak van authenticatie. De kwetsbaarheid treft versies van TREK tussen 1.0.0 en 2.7.2 (inclusief). Een fix is beschikbaar in versie 2.7.2.
Deze authenticatie-omzeiling maakt het mogelijk voor ongeautoriseerde gebruikers om foto's te bekijken die door andere gebruikers zijn geüpload naar de TREK Travel Planner. Hoewel de impact relatief beperkt is (geen data-exfiltratie of RCE), kan dit leiden tot privacy-schendingen en reputatieschade. Een aanvaller kan de foto's gebruiken om informatie over de reizen van gebruikers te verzamelen, of de foto's manipuleren om misleidende informatie te verspreiden. De ernst van de impact hangt af van de gevoeligheid van de geüploade foto's en de mate waarin gebruikers vertrouwen op de privacy van de applicatie.
Deze kwetsbaarheid is openbaar bekend sinds 2026-04-10. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst wel zullen verschijnen. De CVSS score is LOW, wat suggereert dat de exploitatie complexiteit relatief hoog is. Er is geen vermelding op de CISA KEV catalogus.
Organizations and individuals using TREK for collaborative travel planning, particularly those relying on the platform to store sensitive travel information or personal photos, are at risk. Shared hosting environments where multiple TREK instances reside are also potentially vulnerable, as a compromise of one instance could expose photos from others.
• generic web:
curl -I https://your-trek-instance.com/uploads/photo.jpgIf the response returns a 200 OK status without requiring authentication, the vulnerability may be present. • generic web:
grep -r 'uploads/photo.jpg' /var/log/apache2/access.logLook for access attempts to the photo upload directory from unauthorized IP addresses.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van TREK naar versie 2.7.2 of hoger, waar de authenticatie-omzeiling is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) die verzoeken naar de foto-upload endpoint blokkeert zonder de juiste authenticatie headers. Controleer ook de configuratie van de webserver om er zeker van te zijn dat toegang tot de foto-directory beperkt is tot geautoriseerde gebruikers. Na de upgrade, verifieer de fix door te proberen foto's te bekijken zonder ingelogd te zijn; dit zou niet mogelijk moeten zijn.
Werk TREK bij naar versie 2.7.2 of hoger om ongeautoriseerde toegang tot geüploade bestanden te voorkomen. Deze update corrigeert de kwetsbaarheid door authenticatie te vereisen om toegang te krijgen tot geüploade foto's.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40184 is a vulnerability in TREK versions 1.0.0 through 2.7.2 that allows unauthorized access to uploaded photos, potentially exposing sensitive travel data.
If you are using TREK version 1.0.0 through 2.7.2, you are potentially affected by this vulnerability. Upgrade to 2.7.2 to mitigate the risk.
Upgrade TREK to version 2.7.2 or later. As a temporary workaround, restrict access to the photo storage directory through web server configuration.
There are currently no known active exploits for CVE-2026-40184, but the ease of access to the files means it could be exploited opportunistically.
Refer to the TREK project's official website or security announcements for the advisory related to CVE-2026-40184.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.