Plataforma
other
Componente
home-gallery
Corrigido em
1.21.1
Uma vulnerabilidade de Path Traversal foi descoberta no HomeGallery, uma galeria web auto-hospedada de fotos e vídeos. Antes da versão 1.21.0, o aplicativo não verificava se o arquivo solicitado para download estava dentro do diretório de origem da mídia, permitindo o download de arquivos sensíveis do sistema. A vulnerabilidade afeta versões do HomeGallery anteriores ou iguais a 1.21.0 e foi corrigida na versão 1.21.0.
Um atacante pode explorar essa vulnerabilidade para acessar e baixar arquivos arbitrários do sistema de arquivos do servidor. Isso inclui arquivos de configuração, chaves privadas, ou outros dados sensíveis que não deveriam ser acessíveis externamente. O impacto pode variar dependendo dos arquivos que o atacante consegue acessar, mas em cenários mais graves, pode levar à exposição de informações confidenciais, comprometimento do servidor e até mesmo execução remota de código, se arquivos executáveis forem acessíveis e executáveis pelo atacante. A falta de validação adequada do caminho do arquivo abre uma brecha significativa na segurança da aplicação.
A vulnerabilidade foi divulgada em 06 de março de 2026. Não há evidências de exploração ativa no momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. Não foi adicionada ao Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA até o momento.
Organizations and individuals using self-hosted instances of HomeGallery, particularly those with legacy configurations or inadequate file permission settings, are at risk. Shared hosting environments where multiple users share the same server are also potentially vulnerable if HomeGallery is installed.
disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o HomeGallery para a versão 1.21.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de mídia através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório de mídia esperado. Implementar uma camada de proteção adicional, como um proxy reverso, pode ajudar a filtrar solicitações maliciosas.
Actualice HomeGallery a la versión 1.21.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28679 is a Path Traversal vulnerability affecting HomeGallery versions prior to 1.21.0, allowing attackers to potentially download sensitive system files.
You are affected if you are using HomeGallery version 1.21.0 or earlier. Upgrade to 1.21.0 to resolve the vulnerability.
Upgrade HomeGallery to version 1.21.0. As a temporary workaround, implement a WAF rule to block suspicious path traversal patterns.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the HomeGallery project's official website and security advisories for the latest information: https://home-gallery.org/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.