Plataforma
other
Componente
crafty-controller
Corrigido em
4.8.0
A vulnerabilidade CVE-2026-0805 é uma falha de Path Traversal descoberta no componente Backup Configuration do Crafty Controller. Essa falha permite que um atacante remoto autenticado realize file tampering e, potencialmente, execução remota de código. As versões afetadas são 4.5.0 até 4.8.0. A correção para esta vulnerabilidade está disponível na versão 4.8.0.
Um atacante explorando com sucesso a vulnerabilidade CVE-2026-0805 pode obter acesso não autorizado a arquivos confidenciais no sistema Crafty Controller. A capacidade de realizar file tampering permite a modificação de configurações críticas, comprometendo a integridade do sistema. Em cenários mais graves, a execução remota de código (RCE) pode ser alcançada, concedendo ao atacante controle total sobre o servidor. A combinação de file tampering e RCE representa um risco significativo para a confidencialidade, integridade e disponibilidade dos dados e sistemas afetados. A exploração bem-sucedida pode resultar em roubo de dados, interrupção de serviços e comprometimento da infraestrutura.
A vulnerabilidade CVE-2026-0805 foi divulgada em 30 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público não foi confirmada.
Organizations utilizing Crafty Controller versions 4.5.0 through 4.8.0, particularly those with remote access enabled or lacking robust authentication controls, are at risk. Shared hosting environments where multiple users share the same Crafty Controller instance are also particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-0805 é a atualização imediata para a versão 4.8.0 do Crafty Controller, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao componente Backup Configuration apenas a usuários autorizados e monitorar de perto os logs do sistema em busca de atividades suspeitas. Implementar regras de firewall para limitar o acesso externo ao componente Backup Configuration também pode ajudar a reduzir a superfície de ataque. Não há detecção de assinaturas específicas disponíveis no momento, mas a monitorização de tentativas de acesso a arquivos fora do diretório esperado pode ser útil.
Actualice Crafty Controller a la versión 4.8.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización mitigará el riesgo de manipulación de archivos y ejecución remota de código.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-0805 is a Path Traversal vulnerability in Crafty Controller versions 4.5.0–4.8.0, allowing attackers to access files outside the intended directory and potentially execute code.
If you are using Crafty Controller versions 4.5.0 through 4.8.0, you are potentially affected by this vulnerability. Upgrade to version 4.8.0 to mitigate the risk.
The recommended fix is to upgrade Crafty Controller to version 4.8.0 or later. If immediate upgrade isn't possible, implement temporary workarounds like restricting access and input validation.
Currently, there are no publicly known active exploitation campaigns for CVE-2026-0805, but it's crucial to apply the patch promptly.
Refer to the official Crafty Controller security advisory for detailed information and updates regarding CVE-2026-0805.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.