الثغرات ›

CVE-2026-43624

مرتفع

CWE-22 — نوع الضعف

                    نُشر: Jun 1, 2026                      ·  آخر تحديث: Jun 8, 2026                      ·  المصدر: NVD                

CVSS v3

8.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

F5-TTS through version 1.1.20 contains a path traversal vulnerability in the finetune Gradio handlers that allows unauthenticated attackers to write arbitrary files by passing unsanitized user-supplied project names directly to os.path.join() without validating the resulting path stays within the intended base directory. Attackers can supply absolute path arguments such as /tmp/EVIL to override the base directory entirely and create arbitrary directories with attacker-controlled JSON content at any filesystem path writable by the server process.

🤖 ملخص AI

F5-TTS versions up to 1.1.20 contain a path traversal vulnerability in Gradio handlers allowing unauthenticated attackers to write arbitrary files by exploiting unsanitized project names. Attackers can create malicious files at any filesystem location writable by the server process, potentially leading to code execution or system compromise.

📄 الوصف (العربية)

تحتوي ثغرة اجتياز المسار هذه على معالجات Gradio في F5-TTS التي تفشل في التحقق من صحة أسماء المشاريع المزودة من قبل المستخدم قبل استخدامها في os.path.join(). يمكن للمهاجمين توفير مسارات مطلقة مثل /tmp/EVIL لتجاوز الدليل الأساسي وإنشاء ملفات JSON ضارة في أي موقع قابل للكتابة. هذا يمكن أن يؤدي إلى تنفيذ الأوامر البعيدة أو اختراق النظام.

🤖 ملخص تنفيذي (AI)

إصدارات F5-TTS حتى 1.1.20 تحتوي على ثغرة اجتياز المسار في معالجات Gradio تسمح للمهاجمين غير المصرحين بكتابة ملفات عشوائية. يمكن للمهاجمين إنشاء ملفات ضارة في أي موقع نظام ملفات قابل للكتابة بواسطة عملية الخادم.

🤖 التحليل الذكي آخر تحليل: Jun 5, 2026 18:06

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government healthcare energy telecom banking

🎯 تقنيات MITRE ATT&CK

T1190 T1083 T1105 T1059

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade F5-TTS to version 1.1.21 or later. Implement input validation to sanitize project names and verify resulting paths remain within intended base directories using os.path.realpath() and path normalization. Restrict file write permissions for the server process to minimal required directories. Deploy Web Application Firewall rules to detect path traversal patterns. Monitor filesystem write operations for suspicious activity.

🔧 خطوات المعالجة (العربية)

قم بالترقية الفورية إلى F5-TTS الإصدار 1.1.21 أو أحدث. طبق التحقق من صحة المدخلات لتطهير أسماء المشاريع والتحقق من بقاء المسارات الناتجة ضمن الدلائل الأساسية المقصودة. قيد أذونات كتابة الملفات لعملية الخادم على الدلائل المطلوبة بحد أدنى. نشر قواعد جدار حماية تطبيقات الويب للكشف عن أنماط اجتياز المسار. راقب عمليات كتابة نظام الملفات للنشاط المريب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3 PR.PT-1

🟡 ISO 27001:2022

A.6.1.1 A.9.2.1 A.12.2.1 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/SWivid/F5-TTS/commit/2f53ded68e5f69e248ceb200a51ef4d1dc647936

disclosure@vulncheck.com

🔗

https://github.com/SWivid/F5-TTS/issues/1293

disclosure@vulncheck.com

🔗

https://github.com/SWivid/F5-TTS/pull/1294

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/f5-tts-path-traversal-via-finetune-gradio-py-creat...

disclosure@vulncheck.com

📊 CVSS Score

8.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.2

CWECWE-22

EPSS0.08%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-06-01

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-22

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43624

عرّفنا بنفسك

تسجيل الدخول مطلوب