6 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a path-traversal.
CVE-2026-21440 é uma falha de path traversal no @adonisjs/bodyparser que permite gravar arquivos arbitrários via MultipartFile.move(); versões até 10.1.1 e 11.0.0-next.5 estão afetadas — atualize para 10.1.2/11.0.0-next.6.
CVE-2025-69194 no GNU Wget2 permite que Metalinks manipulados causem path traversal e sobrescrevam arquivos arbitrários (CVSS 8.8). A exploração exige processamento do Metalink; Red Hat classificou como Important. Recomendações: evitar Metalinks não confiáveis, monitorar patches e minimizar privilégios.
Campanhas ativas exploram CVE-2025-64446 em appliances FortiWeb: path traversal e bypass de autenticação permitem criação de administradores sem credenciais. Fortinet publicou advisory; CISA adicionou ao catálogo KEV. Atualize e desabilite interfaces HTTP/HTTPS expostas.
CISA adicionou CVE-2025-6218 (WinRAR) ao catálogo de vulnerabilidades exploradas; trata‑se de path traversal com CVSS 9.8 que permite extração fora da pasta e execução de código. Agências têm até 30/12/2025 para aplicar correção.
CISA alertou sobre CVE-2025-64446, uma falha de relative path traversal no FortiWeb da Fortinet que permite execução de comandos administrativos sem autenticação. A vulnerabilidade foi adicionada ao KEV em 14/11/2025 e afeta firmwares até 7.4.7 e 7.6.5; Fortinet recomenda atualização para 7.4.8 ou 7.6.6 e isolamento onde não for possível aplicar patch.
Um PoC público para CVE-2025-64446 (FortiWeb) foi liberado no GitHub; a falha (CVSS 9.8) permite traversal em endpoints CGI e já foi observada em ataques reais. Versões afetadas: 6.3.0–7.4.6. Fortinet recomenda atualizar para 7.4.7+ e segmentar gestão.