Vulnerabilities ›

CVE-2026-24897

Critical ⚡ Exploit Available

Critical Path Traversal Vulnerability in Erugo File-Sharing Platform Enables Remote Code Execution

CWE-22 — Weakness Type

                    Published: Jan 28, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

10.0

🔗 NVD Official

📄 Description (English)

Erugo is a self-hosted file-sharing platform. In versions up to and including 0.2.14, an authenticated low-privileged user can upload arbitrary files to any specified location due to insufficient validation of user‑supplied paths when creating shares.
By specifying a writable path within the public web root, an attacker can upload and execute arbitrary code on the server, resulting in remote code execution (RCE). This vulnerability allows a low-privileged user to fully compromise the affected Erugo instance. Version 0.2.15 fixes the issue.

🤖 AI Executive Summary

Erugo file-sharing platform versions up to 0.2.14 allow authenticated low-privileged users to upload arbitrary files to any location due to insufficient path validation, enabling remote code execution. An attacker can exploit this to upload malicious files to the web root and execute arbitrary code, fully compromising the server.

📄 Description (Arabic)

تمثل هذه الثغرة الأمنية خطراً حرجاً على المؤسسات السعودية التي تستخدم منصة إيروغو لمشاركة الملفات داخلياً. تنشأ الثغرة من عدم كفاية التحقق من صحة المسارات التي يوفرها المستخدم عند إنشاء المشاركات، مما يسمح بهجمات اجتياز المسارات. يستطيع المهاجم ذو الصلاحيات المنخفضة تحديد مسار قابل للكتابة ضمن الجذر العام للويب وتحميل ملفات خبيثة قابلة للتنفيذ. بمجرد تحميل هذه الملفات، يمكن للمهاجم تنفيذها عبر متصفح الويب لتحقيق تنفيذ تعليمات برمجية عن بُعد والسيطرة الكاملة على الخادم. تشكل هذه الثغرة تهديداً مباشراً لسرية وسلامة وتوافر البيانات الحساسة المخزنة على المنصة، وقد تؤدي إلى اختراق شامل للبنية التحتية المتصلة. يتوفر استغلال عملي لهذه الثغرة مما يزيد من خطورتها وإلحاحية معالجتها فوراً.

🤖 ملخص تنفيذي (AI)

تحتوي منصة إيروغو لمشاركة الملفات في الإصدارات حتى 0.2.14 على ثغرة حرجة في اجتياز المسارات بدرجة خطورة 10.0 وفق معيار CVSS. يمكن لمستخدم مصادق عليه بصلاحيات منخفضة استغلال ضعف التحقق من المسارات أثناء إنشاء المشاركات لتحميل ملفات تعسفية إلى أي موقع على الخادم بما في ذلك الجذر العام للويب. تتيح هذه الثغرة للمهاجمين تنفيذ تعليمات برمجية خبيثة عن بُعد والسيطرة الكاملة على النظام المتأثر، مع توفر استغلالات نشطة في البرية.

🤖 AI Intelligence Analysis Analyzed: Apr 4, 2026 17:08

🇸🇦 Saudi Arabia Impact Assessment

Relevance: high

🏢 Affected Saudi Sectors

القطاع المالي والمصرفي الجهات الحكومية قطاع الاتصالات وتقنية المعلومات المؤسسات التعليمية قطاع الرعاية الصحية الشركات الكبرى والمتوسطة مقدمو الخدمات السحابية

🎯 MITRE ATT&CK Techniques

T1190 T1078 T1083 T1105 T1059 T1068 T1070.004

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Erugo to version 0.2.15 or later and audit all file uploads for suspicious content.

🔧 خطوات المعالجة (العربية)

قم بترقية Erugo إلى الإصدار 0.2.15 أو أحدث فوراً وتدقيق جميع الملفات المرفوعة للتحقق من المحتوى المريب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2: تطبيق التحديثات والتصحيحات الأمنية ECC-3-1: إدارة الثغرات الأمنية ECC-5-1: التحكم في الوصول والصلاحيات ECC-4-3: حماية البيانات أثناء المعالجة ECC-2-1: الحماية من البرمجيات الخبيثة

🔵 SAMA CSF

CCC-1.1.1: إدارة الأصول التقنية CCC-2.1.1: إدارة الثغرات الأمنية CCC-3.1.1: التحكم في الوصول CCC-4.1.1: الكشف عن الأنشطة الشاذة CCC-5.1.1: الاستجابة للحوادث الأمنية

🟡 ISO 27001:2022

A.12.6.1: إدارة الثغرات التقنية A.9.2.3: إدارة حقوق الوصول المميزة A.14.2.5: مبادئ هندسة النظم الآمنة A.12.2.1: الضوابط ضد البرمجيات الخبيثة A.18.2.3: المراجعة الفنية للامتثال

🔗 References & Sources 4

🔗

https://github.com/ErugoOSS/Erugo/commit/256bc63831a0b5e9a94cb024a0724e0cd5fa5e38

security-advisories@github.com

Patch

🔗

https://github.com/ErugoOSS/Erugo/releases/tag/v0.2.15

security-advisories@github.com

Release Notes

🔗

https://github.com/ErugoOSS/Erugo/security/advisories/GHSA-336w-hgpq-6369

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/ErugoOSS/Erugo/security/advisories/GHSA-336w-hgpq-6369

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

erugo:erugo

📊 CVSS Score

10.0

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score10.0

CWECWE-22

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-28

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available patch-available CWE-22

🏢 Vendor Advisories

🔗 https://github.com/ErugoOSS/Erugo/security/advisorie... 🔗 https://github.com/ErugoOSS/Erugo/security/advisorie...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-24897

Introduce Yourself

Sign In Required