A vulnerability has been found in elecV2 elecV2P up to 3.8.3. Impacted is the function path.join of the file /store/:key. The manipulation of the argument URL leads to path traversal. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. The project was informed of the problem early through an issue report but has not responded yet.
elecV2P versions up to 3.8.3 contain a path traversal vulnerability in the /store/:key endpoint that allows remote attackers to access arbitrary files through URL manipulation. The vulnerability exploits improper input validation in the path.join function, enabling unauthorized file access without authentication.
تؤثر هذه الثغرة على elecV2P حتى الإصدار 3.8.3 وتسمح بالوصول غير المصرح إلى الملفات من خلال معالجة عناوين URL الضارة. يمكن استغلال الثغرة عن بعد دون الحاجة إلى مصادقة، مما يعرض البيانات الحساسة للخطر.
إصدارات elecV2P حتى 3.8.3 تحتوي على ثغرة traversal في نقطة النهاية /store/:key تسمح للمهاجمين بالوصول إلى ملفات عشوائية من خلال معالجة عناوين URL. تستغل الثغرة التحقق غير الكافي من المدخلات في دالة path.join.
Upgrade elecV2P to version 3.8.4 or later immediately. Implement input validation and sanitization for all URL parameters. Apply Web Application Firewall (WAF) rules to block path traversal patterns. Restrict file system access permissions for the application process. Monitor access logs for suspicious path traversal attempts.
قم بترقية elecV2P إلى الإصدار 3.8.4 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات URL. طبق قواعد جدار حماية تطبيقات الويب لحجب أنماط path traversal. قيد أذونات الوصول إلى نظام الملفات لعملية التطبيق. راقب سجلات الوصول للكشف عن محاولات path traversal المريبة.