Plataforma
php
Componente
clipbucket-v5
Corrigido em
5.5.2
A vulnerabilidade CVE-2025-21622 é um problema de Path Traversal identificado no ClipBucket, uma plataforma de hospedagem de vídeos de código aberto em PHP. Um atacante pode explorar essa falha para excluir arquivos arbitrários no servidor, comprometendo a integridade do sistema. A vulnerabilidade afeta versões do ClipBucket anteriores ou iguais a 5.5.1 - 237. A correção está disponível na versão 5.5.1 - 237.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante manipule o URL do avatar para incluir sequências de path traversal, como '../'. Ao fazer isso, o atacante pode contornar as verificações de segurança e excluir arquivos fora do diretório de avatares pretendido. O impacto pode variar dependendo das permissões do usuário que executa o código vulnerável, mas em cenários com privilégios elevados, um atacante pode potencialmente excluir arquivos críticos do sistema, levando à interrupção do serviço ou até mesmo à perda de dados. A ausência de validação adequada do caminho de upload do avatar torna essa vulnerabilidade particularmente perigosa.
A vulnerabilidade foi divulgada em 7 de janeiro de 2025. Não há informações disponíveis sobre a exploração ativa desta vulnerabilidade em campanhas direcionadas. A ausência de um Proof of Concept (PoC) publicamente disponível sugere que a exploração pode ser mais complexa ou menos atraente para atacantes, mas a gravidade da vulnerabilidade ainda justifica a aplicação imediata da correção.
ClipBucket installations, particularly those running older versions (5.5.1 and below), are at risk. Shared hosting environments where multiple users share the same ClipBucket instance are especially vulnerable, as a compromised user account could be used to exploit the vulnerability and impact other users. Legacy configurations with permissive file upload settings also increase the risk.
• linux / server:
find /var/www/clipbucket/avatars -type f -name '*..*' 2>/dev/null # Check for files with suspicious names• generic web:
curl -I 'http://your-clipbucket-site.com/avatars/../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
1.27% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-21622 é atualizar o ClipBucket para a versão 5.5.1 - 237, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar uma validação rigorosa do caminho do arquivo no código de exclusão de avatar. Isso deve incluir a verificação de que o caminho fornecido pelo usuário está dentro do diretório de avatares esperado e não contém sequências de path traversal. Além disso, configure um Web Application Firewall (WAF) para bloquear solicitações que contenham padrões de path traversal conhecidos. Monitore os logs do servidor em busca de tentativas de exclusão de arquivos suspeitas.
Atualize o ClipBucket para a versão 5.5.1 - 237 ou superior. Esta versão corrige a vulnerabilidade de path traversal na função de remoção de avatares. A atualização evitará a remoção de arquivos fora do diretório de avatares.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-21622 is a Path Traversal vulnerability in ClipBucket versions 5.5.1 and earlier, allowing attackers to delete files by manipulating the avatar upload URL.
You are affected if you are running ClipBucket version 5.5.1 or earlier. Upgrade to version 5.5.1 - 237 to resolve the issue.
Upgrade ClipBucket to version 5.5.1 - 237. As a temporary workaround, implement a WAF rule to block requests with path traversal sequences in the avatar URL.
As of January 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the ClipBucket security advisories on their official website or GitHub repository for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.