Plataforma
php
Componente
trek
Corrigido em
2.7.3
A vulnerabilidade CVE-2026-40184 afeta o TREK, um planejador de viagens colaborativo. Antes da versão 2.7.2, o TREK servia fotos enviadas pelos usuários sem exigir autenticação, permitindo o acesso não autorizado a esses arquivos. Essa falha de segurança é corrigida na versão 2.7.2, mitigando o risco de exposição de dados.
Um atacante pode explorar essa vulnerabilidade para acessar fotos enviadas pelos usuários do TREK sem a necessidade de credenciais. Isso pode levar à divulgação de informações sensíveis contidas nas imagens, como fotos de destinos de viagem, pessoas ou locais privados. O impacto potencial varia dependendo do conteúdo das fotos, mas pode incluir violações de privacidade e exposição de informações confidenciais. A ausência de autenticação para o acesso às fotos torna a exploração relativamente simples, aumentando o risco de ataques.
A vulnerabilidade foi divulgada em 2026-04-10. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A probabilidade de exploração é considerada baixa devido à necessidade de conhecimento da vulnerabilidade e acesso direto ao servidor TREK. Não está listada no KEV da CISA.
Organizations and individuals using TREK for collaborative travel planning, particularly those relying on the platform to store sensitive travel information or personal photos, are at risk. Shared hosting environments where multiple TREK instances reside are also potentially vulnerable, as a compromise of one instance could expose photos from others.
• generic web:
curl -I https://your-trek-instance.com/uploads/photo.jpgIf the response returns a 200 OK status without requiring authentication, the vulnerability may be present. • generic web:
grep -r 'uploads/photo.jpg' /var/log/apache2/access.logLook for access attempts to the photo upload directory from unauthorized IP addresses.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-40184 é atualizar o TREK para a versão 2.7.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads de fotos através de um servidor web (WAF ou proxy reverso) para bloquear solicitações não autorizadas. Monitore os logs do servidor web em busca de tentativas de acesso não autorizado aos arquivos de fotos.
Atualize o TREK para a versão 2.7.2 ou posterior para evitar o acesso não autenticado a arquivos enviados. Esta atualização corrige a vulnerabilidade ao requerer autenticação para acessar as fotos enviadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40184 is a vulnerability in TREK versions 1.0.0 through 2.7.2 that allows unauthorized access to uploaded photos, potentially exposing sensitive travel data.
If you are using TREK version 1.0.0 through 2.7.2, you are potentially affected by this vulnerability. Upgrade to 2.7.2 to mitigate the risk.
Upgrade TREK to version 2.7.2 or later. As a temporary workaround, restrict access to the photo storage directory through web server configuration.
There are currently no known active exploits for CVE-2026-40184, but the ease of access to the files means it could be exploited opportunistically.
Refer to the TREK project's official website or security announcements for the advisory related to CVE-2026-40184.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.