A security flaw has been discovered in gyoridavid short-video-maker up to 1.3.4. This affects an unknown part of the file src/server/routers/rest.ts of the component REST API. The manipulation of the argument req.params.tmpFile results in path traversal. The attack can be launched remotely. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.
A path traversal vulnerability exists in gyoridavid short-video-maker versions up to 1.3.4 in the REST API component, allowing remote attackers to access arbitrary files through manipulation of the tmpFile parameter. The vulnerability has been publicly disclosed and exploits are available, posing a risk to organizations using this software.
تم اكتشاف ثغرة عبور مسار في مكون REST API لتطبيق صانع الفيديو القصير gyoridavid حيث يمكن للمهاجمين التلاعب بمعامل tmpFile للوصول إلى ملفات عشوائية على النظام. الثغرة قابلة للاستغلال عن بعد وقد تم نشر استغلالات عامة لها. المشروع لم يستجب بعد للإبلاغ عن المشكلة.
مسار عبور في تطبيق صانع الفيديو القصير gyoridavid الإصدارات حتى 1.3.4 يسمح للمهاجمين بالوصول إلى ملفات عشوائية عن بعد. تم الكشف عن الثغرة علنا وقد تستخدم في هجمات فعلية ضد المنظمات السعودية.
Update gyoridavid short-video-maker to version 1.3.5 or later immediately. Implement input validation and sanitization for all file path parameters. Apply principle of least privilege to API service accounts. Monitor access logs for suspicious tmpFile parameter patterns. Consider implementing Web Application Firewall rules to block path traversal attempts.
قم بتحديث تطبيق gyoridavid إلى الإصدار 1.3.5 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات مسارات الملفات. طبق مبدأ الامتيازات الأقل على حسابات خدمة API. راقب سجلات الوصول للأنماط المريبة. استخدم جدران حماية تطبيقات الويب لحجب محاولات عبور المسار.