CRITICALCVE-2026-34745CVSS 9.1

未认证的路径遍历任意文件写入漏洞位于 /api/uploadChunked/public

Q: 什么是 CVE-2026-34745 — 路径遍历漏洞在 Fireshare 中？

CVE-2026-34745 是 Fireshare 软件中发现的一个严重漏洞，允许攻击者利用 /api/uploadChunked/public 端点将任意文件写入服务器文件系统。

Q: 我是否受到 CVE-2026-34745 在 Fireshare 中影响？

如果您运行 Fireshare 版本小于或等于 1.5.3，则您可能受到此漏洞的影响。请立即升级至最新版本。

Q: 我如何修复 CVE-2026-34745 在 Fireshare 中？

最有效的修复方法是立即将 Fireshare 升级至 1.5.3 或更高版本。

Q: CVE-2026-34745 是否正在被积极利用？

目前尚无公开的利用程序，但由于漏洞的严重性，预计未来可能会出现。

Q: 在哪里可以找到 Fireshare 官方关于 CVE-2026-34745 的公告？

请访问 Fireshare 官方网站或 GitHub 仓库，查找有关此漏洞的官方安全公告。

平台

python

组件

fireshare

修复版本

1.5.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34745 是 Fireshare 软件中发现的一个严重路径遍历漏洞。该漏洞允许未经身份验证的攻击者利用 checkSum 参数，将恶意文件写入服务器文件系统中的任何可写位置，从而可能导致服务器被完全控制。此漏洞影响 Fireshare 版本小于或等于 1.5.3 的用户，已在 1.5.3 版本中修复。

影响与攻击场景

该漏洞的影响极其严重，攻击者可以利用它在服务器上执行任意代码，窃取敏感数据，甚至完全控制服务器。攻击者可以上传包含恶意脚本的文件，这些脚本将在服务器上执行，从而导致数据泄露、服务中断或进一步的攻击。由于该漏洞无需身份验证，任何外部攻击者都可能利用它，因此其潜在影响范围非常广泛。类似于其他路径遍历漏洞，攻击者可以利用此漏洞访问和修改服务器上的任何文件，包括配置文件、数据库文件和系统文件。

利用背景

该漏洞已于 2026 年 4 月 2 日公开披露。目前尚无公开的利用程序，但由于漏洞的严重性和易于利用性，预计未来可能会出现。建议密切关注安全社区的动态，并及时采取必要的安全措施。该漏洞尚未被添加到 CISA KEV 目录，但其严重程度表明应予以高度关注。

哪些人处于风险中翻译中…

Organizations running self-hosted Fireshare instances, particularly those using older versions (≤ 1.5.3), are at significant risk. Shared hosting environments where Fireshare is installed pose a heightened risk due to the potential for cross-tenant exploitation. Users who have not applied security patches or are unaware of this vulnerability are also at risk.

检测步骤翻译中…

• linux / server: Monitor system logs (journalctl) for suspicious file creation events in writable directories. Look for patterns related to the /api/uploadChunked/public endpoint and unusual filenames.

journalctl -f | grep '/api/uploadChunked/public' | grep -i 'checkSum'

• generic web: Use curl to test the /api/uploadChunked/public endpoint with crafted checkSum parameters designed to write to arbitrary paths.

curl -X POST -d '...' 'http://your-fireshare-server/api/uploadChunked/public?checkSum=../../../../etc/passwd' -v

• python: If you have access to the Fireshare application code, review the app/server/fireshare/api.py file for the vulnerable upload logic and ensure the fix is correctly implemented.

攻击时间线

2026-04-02Disclosure
disclosure
2026-04-02Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.06% (18% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件fireshare

供应商ShaneIsrael

影响范围修复版本

< 1.5.3 – < 1.5.31.5.4

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-30
发布日期2026-04-02
EPSS 更新日期2026-04-10

缓解措施和替代方案

最有效的缓解措施是立即将 Fireshare 升级至 1.5.3 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制服务器文件系统的写入权限，仅允许 Fireshare 进程访问必要的目录；实施 Web 应用防火墙 (WAF) 规则，以阻止对 /api/uploadChunked/public 端点的恶意请求；监控服务器日志，查找可疑的文件上传活动。升级后，请验证文件上传功能是否正常工作，并确认漏洞已成功修复。

修复方法

升级到 1.5.3 或更高版本。此版本修复了 /api/uploadChunked/public 端点的路径遍历漏洞。升级将防止未认证的攻击者在系统上写入任意文件。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-34745 — 路径遍历漏洞在 Fireshare 中？

CVE-2026-34745 是 Fireshare 软件中发现的一个严重漏洞，允许攻击者利用 /api/uploadChunked/public 端点将任意文件写入服务器文件系统。

我是否受到 CVE-2026-34745 在 Fireshare 中影响？