آسیبپذیری CVE-2026-24897 با شدت 10 در پلتفرم اشتراکگذاری فایل Erugo ناشی از اعتبارسنجی ناکافی مسیرهای ورودی هنگام ایجاد اشتراک فایل است. این نقص به کاربران احراز هویتشده با سطح دسترسی پایین اجازه میدهد فایلهای دلخواه را در هر مسیر دلخواه روی سرور بارگذاری کنند. اگر مهاجم مسیری قابل نوشتن در ریشه وب عمومی مشخص کند، میتواند فایل مخرب را آپلود و اجرا نماید. این موضوع منجر به اجرای کد از راه دور روی سرور میشود. بهرهبرداری موفق به مهاجم امکان میدهد کنترل کامل نمونه Erugo را در اختیار بگیرد. این آسیبپذیری تمام نسخههای تا 0.2.14 را تحت تأثیر قرار میدهد. نسخه 0.2.15 این مشکل را برطرف کرده است.
- Erugo (پلتفرم اشتراکگذاری فایل Self-hosted)
- نسخههای تا و شامل 0.2.14
- هر استقرار یا نمونهای از Erugo که در محیط عمومی یا سرور قابل دسترسی اجرا میشود
- بهروزرسانی فوری Erugo به نسخه 0.2.15 یا بالاتر که این نقص را رفع کرده.
- محدود کردن مسیرهای قابل نوشتن برای کاربران کمامتیاز؛ پاکسازی/اعتبارسنجی کامل مسیر ورودی.
- غیرفعالسازی آپلود مستقیم در پوشههای عمومی وب (Public Web Root).
- استفاده از Web Application Firewall (WAF) برای جلوگیری از آپلود فایلهای مخرب.
- عدم اجرای فایلهای آپلودشده بهعنوان کد (غیرفعال کردن اجرای PHP/اسکریپت در دایرکتوریهای Upload).
- بررسی لاگهای لاگین و آپلود برای شناسایی تلاشهای غیرمجاز.
- محدود کردن دسترسی به بخشهای مدیریت به آدرسهای IP قابل اعتماد.
- 13