Plataforma
python
Componente
fireshare
Corrigido em
1.5.4
O CVE-2026-34745 é uma vulnerabilidade de Path Traversal descoberta no Fireshare, uma plataforma de compartilhamento de mídia auto-hospedada. Essa falha permite que um atacante não autenticado escreva arquivos arbitrários no sistema de arquivos do servidor, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões do Fireshare anteriores à 1.5.3 e foi corrigida nesta versão.
Um atacante pode explorar essa vulnerabilidade manipulando o parâmetro checkSum no endpoint /api/uploadChunked/public não autenticado. Ao fazê-lo, o atacante pode sobrescrever arquivos existentes ou criar novos arquivos em qualquer local acessível para escrita no sistema de arquivos do servidor. Isso pode levar à execução remota de código, roubo de dados confidenciais, ou até mesmo à tomada de controle completa do servidor. A gravidade crítica da vulnerabilidade (CVSS 9.1) reflete o potencial de impacto significativo e a facilidade de exploração.
A vulnerabilidade foi divulgada em 2026-04-02. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a facilidade de exploração descrita.
Organizations running self-hosted Fireshare instances, particularly those using older versions (≤ 1.5.3), are at significant risk. Shared hosting environments where Fireshare is installed pose a heightened risk due to the potential for cross-tenant exploitation. Users who have not applied security patches or are unaware of this vulnerability are also at risk.
• linux / server: Monitor system logs (journalctl) for suspicious file creation events in writable directories. Look for patterns related to the /api/uploadChunked/public endpoint and unusual filenames.
journalctl -f | grep '/api/uploadChunked/public' | grep -i 'checkSum'• generic web: Use curl to test the /api/uploadChunked/public endpoint with crafted checkSum parameters designed to write to arbitrary paths.
curl -X POST -d '...' 'http://your-fireshare-server/api/uploadChunked/public?checkSum=../../../../etc/passwd' -v• python: If you have access to the Fireshare application code, review the app/server/fireshare/api.py file for the vulnerable upload logic and ensure the fix is correctly implemented.
disclosure
patch
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Fireshare para a versão 1.5.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao endpoint /api/uploadChunked/public através de um firewall de aplicação web (WAF) ou proxy reverso, configurando regras para bloquear solicitações com parâmetros checkSum suspeitos. Monitore os logs do servidor em busca de tentativas de escrita de arquivos em locais inesperados.
Atualize para a versão 1.5.3 ou superior. Esta versão corrige a vulnerabilidade de path traversal no endpoint /api/uploadChunked/public. A atualização evitará que atacantes não autenticados escrevam arquivos arbitrários no sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34745 is a critical Path Traversal vulnerability in Fireshare versions prior to 1.5.3, allowing unauthenticated attackers to write arbitrary files to the server's filesystem.
You are affected if you are running Fireshare version 1.5.3 or earlier. Immediately upgrade to the latest version to mitigate the risk.
The recommended fix is to upgrade Fireshare to version 1.5.3 or later. As a temporary workaround, implement a WAF rule to block suspicious requests to the vulnerable endpoint.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Continuous monitoring is advised.
Refer to the Fireshare project's official website or security advisories for the latest information and updates regarding CVE-2026-34745.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.