V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-43975
CVE
Средний

FolderUploadsFileManager в Apache Wicket не проверяет и не дезинфицирует параметр загрузкиFieldId или клиентФайлИмен перед построением файл…

CVSS
6.5
Средний
EPSS
0.01
p49
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

FolderUploadsFileManager в Apache Wicket не проверяет и не дезинфицирует параметр загрузкиFieldId или клиентФайлИмен перед построением файловых путей, позволяя неаутентифицируемому злоумышленнику записывать произвольные файлы за пределами предполагаемого каталога загрузки или читать Файлы из произвольных мест на сервере. Эта проблема затрагивает калитки Apache: с 8.0.0 до 8.17.0, с 9.0.0 до 9.22.0, с 10.0.0 до 10.8.0. Пользователям рекомендуется обновиться до версии 10.9.0, которая устраняет проблему.

Теги · CWE
Без аутентификации
CWE-22
CAPEC-64
CAPEC-76
CAPEC-78
CAPEC-79
CAPEC-126
Затронутые продукты
Wicket 8.0.0–8.17.0Wicket 9.0.0–9.22.0Wicket 10.0.0–10.9.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.007 · p49
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
wicket*Отслеживается