Plataforma
php
Componente
talishar
Corrigido em
6.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no projeto Talishar, um projeto fan-made de Flesh and Blood. Essa falha, presente em versões anteriores ao commit 6be3871, permite que atacantes acessem arquivos não autorizados através da manipulação do parâmetro 'gameName'. A exploração bem-sucedida requer acesso direto ao componente ParseGamestate.php, que não possui sanitização interna, e foi corrigida no commit 6be3871.
A vulnerabilidade de Path Traversal em Talishar permite que um atacante, com acesso direto ao componente ParseGamestate.php, utilize sequências de traversal de diretório (como '../') para navegar pelo sistema de arquivos do servidor. Isso pode resultar na leitura de arquivos confidenciais, como arquivos de configuração, código-fonte ou dados do usuário. O impacto potencial varia dependendo dos arquivos acessíveis, podendo comprometer a integridade e a confidencialidade do sistema. A ausência de validação de entrada no ParseGamestate.php torna a exploração relativamente simples, especialmente se o componente for exposto diretamente na web.
A vulnerabilidade foi divulgada em 2026-03-06. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A ausência de validação de entrada no ParseGamestate.php facilita a exploração, tornando-a uma preocupação para sistemas não corrigidos.
This vulnerability primarily affects users who are running vulnerable versions of Talishar, particularly those who have exposed the ParseGamestate.php script directly to the internet. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• php: Examine web server access logs for requests containing directory traversal sequences (e.g., ../).
• php: Search for the ParseGamestate.php file in the webroot and verify that it is not directly accessible.
• generic web: Use curl to test for directory traversal:
curl 'http://your-talishar-server/ParseGamestate.php?gameName=../../../../etc/passwd'• generic web: Monitor file integrity for critical system files to detect unauthorized modifications.
disclosure
Status do Exploit
EPSS
0.47% (percentil 64%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-28429 é atualizar o Talishar para a versão corrigida (commit 6be3871). Se a atualização imediata não for possível, restrinja o acesso direto ao componente ParseGamestate.php, impedindo que ele seja acessado como um script independente. Implemente validação de entrada robusta em todos os parâmetros, garantindo que os valores fornecidos pelos usuários sejam seguros e não contenham sequências de traversal de diretório. Monitore o acesso ao ParseGamestate.php para detectar tentativas de exploração.
Actualice Talishar a la versión con el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 o posterior. Esto corrige la vulnerabilidad de Path Traversal en el parámetro gameName.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28429 is a Path Traversal vulnerability in Talishar, allowing attackers to potentially access unauthorized files by manipulating the gameName parameter in ParseGamestate.php.
You are affected if you are using a version of Talishar prior to 6be3871a14c192d1fb8146cdbc76f29f27c1cf48 and the ParseGamestate.php script is directly accessible.
Upgrade Talishar to version 6be3871 or later. Alternatively, restrict direct access to ParseGamestate.php and implement WAF rules to block directory traversal attempts.
No active exploitation has been confirmed at this time, but vigilance is still advised.
Refer to the project's repository or communication channels for the official advisory regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.