A vulnerability was found in prasathmani TinyFileManager up to 2.6. Affected is an unknown function of the file /filemanager.php of the component POST Parameter Handler. The manipulation of the argument file[] results in path traversal. The attack may be performed from remote. The exploit has been made public and could be used. The vendor was contacted early about this disclosure but did not respond in any way.
TinyFileManager versions up to 2.6 contain a path traversal vulnerability in the POST parameter handler that allows remote attackers to access files outside intended directories. The vulnerability affects the file[] parameter in filemanager.php and has public exploits available.
ثغرة اجتياز المسار في TinyFileManager تسمح للمهاجمين بالوصول إلى ملفات حساسة خارج الدليل المقصود من خلال معاملات POST المعدلة. يمكن استغلال هذه الثغرة عن بعد دون مصادقة وقد تم نشر استغلالات عامة لها. البائع لم يستجب لإشعارات الكشف المبكر.
مدير الملفات الصغير (TinyFileManager) الإصدارات حتى 2.6 يحتوي على ثغرة اجتياز المسار في معالج معاملات POST تسمح للمهاجمين البعيدين بالوصول إلى الملفات خارج الدلائل المقصودة. تؤثر الثغرة على معامل file[] في filemanager.php وتتوفر لها استغلالات عامة.
Update TinyFileManager to version 2.7 or later immediately. Implement input validation and sanitization for all file parameters. Restrict file operations to designated directories using chroot or similar mechanisms. Apply principle of least privilege to file manager processes. Monitor POST requests for suspicious file[] parameters containing path traversal sequences like ../ or ..
قم بتحديث TinyFileManager إلى الإصدار 2.7 أو أحدث فوراً. قم بتطبيق التحقق من صحة المدخلات وتنظيفها لجميع معاملات الملفات. قيد عمليات الملفات على الدلائل المخصصة باستخدام chroot أو آليات مماثلة. طبق مبدأ أقل صلاحية على عمليات مدير الملفات. راقب طلبات POST للبحث عن معاملات file[] المريبة التي تحتوي على تسلسلات اجتياز المسار مثل ../ أو ..