Fireshare facilitates self-hosted media and link sharing. In version 1.5.1, an authenticated path traversal vulnerability in Fireshare’s chunked upload endpoint allows an attacker to write arbitrary files outside the intended upload directory. The `checkSum` multipart field is used directly in filesystem path construction without sanitization or containment checks. This enables unauthorized file writes to attacker-chosen paths writable by the Fireshare process (e.g., container `/tmp`), violating integrity and potentially enabling follow-on attacks depending on deployment. Version 1.5.2 fixes the issue.
Fireshare 1.5.1 contains an authenticated path traversal vulnerability in the chunked upload endpoint that allows attackers to write arbitrary files outside the intended directory. The vulnerability stems from unsanitized use of the checkSum field in filesystem path construction, potentially enabling integrity violations and follow-on attacks.
تحتوي نسخة Fireshare 1.5.1 على ثغرة اجتياز مسار مصادق عليها في نقطة نهاية التحميل المقسم حيث يتم استخدام حقل checkSum مباشرة في بناء مسار نظام الملفات دون تطهير. يمكن للمهاجمين المصادقين استخدام هذه الثغرة لكتابة ملفات عشوائية في مسارات قابلة للكتابة يمكن الوصول إليها من قبل عملية Fireshare.
إصدار Fireshare 1.5.1 يحتوي على ثغرة اجتياز المسار المصادق عليها في نقطة نهاية التحميل المقسم التي تسمح للمهاجمين بكتابة ملفات عشوائية خارج الدليل المقصود. تنبع الثغرة من الاستخدام غير المعقم لحقل checkSum في بناء مسار نظام الملفات.
Upgrade Fireshare to version 1.5.2 or later immediately. Implement input validation and sanitization for all file path parameters, particularly the checkSum field. Apply principle of least privilege to Fireshare process permissions. Monitor file system access logs for suspicious write operations outside intended directories.
قم بترقية Fireshare إلى الإصدار 1.5.2 أو أحدث على الفور. قم بتطبيق التحقق من صحة المدخلات والتطهير لجميع معاملات مسار الملف، خاصة حقل checkSum. طبق مبدأ أقل امتياز لأذونات عملية Fireshare. راقب سجلات الوصول إلى نظام الملفات للعمليات المريبة للكتابة خارج الدلائل المقصودة.