Informazioni sul CVE-2025-27142
LocalSend path traversal vulnerability in the file upload endpoint allows nearby devices to execute arbitrary commands
CWE ID: CWE-22
Base Score (CVSS): 6.3
CVE: CVE-2025-27142
Descrizione: LocalSend è un’app gratuita, open-source che consente agli utenti di condividere file e messaggi con dispositivi vicini tramite la propria rete locale senza bisogno di una connessione internet. Prima della versione 1.17.0, a causa della mancata sanificazione del percorso nel `POST /api/localsend/v2/prepare-upload` e nel `POST /api/localsend/v2/upload` endpoint, una richiesta di trasferimento di file malevoli può scrivere file in una posizione arbitraria sul sistema, causando l’esecuzione di comandi remoti. Una richiesta di trasferimento di file malevoli inviata da dispositivi vicini può scrivere file in una directory arbitraria. Di solito, questo permette l’esecuzione tramite il folder di avvio su Windows o i file Bash-related su Linux. Se l’utente abilita la funzione `Quick Save`, essa scrive i file in modo silenzioso senza interazione dell’utente. La versione 1.17.0 risolve questo problema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/localsend/localsend/security/advisories/GHSA-f7jp-p6j4-3522
- https://github.com/localsend/localsend/commit/e8635204ec782ded45bc7d698deb60f3c4105687
Prodotti interessati
- localsend – localsend
Relazioni con altri prodotti
Produttore:localsend
Prodotto: localsend
Anno: 2025
CWE: CWE-22
CVSS: 6.3