Talisharにおけるパストラバーサルの脆弱性
| Title |
Talisharにおけるパストラバーサルの脆弱性
|
| Summary |
TalisharはファンメイドのFlesh and Bloodプロジェクトです。コミット6be3871以前に、gameNameパラメータにディレクトリトラバーサルの脆弱性が確認されていました。アプリケーションの主なエントリーポイントでは入力検証が実装されていますが、ParseGamestate.phpコンポーネントはスタンドアロンのスクリプトとして直接アクセスが可能です。この場合、内部でサニタイズが行われていないため、ディレクトリトラバーサルのシーケンス(例:../)が処理され、不正なファイルアクセスが発生する可能性があります。この問題はコミット6be3871で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 6, 2026, midnight |
| Registration Date |
April 21, 2026, 10:50 a.m. |
| Last Update |
April 21, 2026, 10:50 a.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Affected System
| Talishar |
|
Talishar 2026-02-22 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月21日]
掲載 |
April 21, 2026, 10:50 a.m. |
NVD Vulnerability Information
CVE-2026-28429
| Summary |
Talishar is a fan-made Flesh and Blood project. Prior to commit 6be3871, a Path Traversal vulnerability was identified in the gameName parameter. While the application's primary entry points implement input validation, the ParseGamestate.php component can be accessed directly as a standalone script. In this scenario, the absence of internal sanitization allows for directory traversal sequences (e.g., ../) to be processed, potentially leading to unauthorized file access. This issue has been patched in commit 6be3871.
|
| Summary |
Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit 6be3871, una vulnerabilidad de salto de ruta fue identificada en el parámetro gameName. Aunque los puntos de entrada principales de la aplicación implementan validación de entrada, el componente ParseGamestate.PHP puede ser accedido directamente como un script independiente. En este escenario, la ausencia de saneamiento interno permite que secuencias de salto de directorio (p. ej., ../) sean procesadas, lo que podría llevar a un acceso no autorizado a archivos. Este problema ha sido parcheado en el commit 6be3871.
|
| Publication Date |
March 6, 2026, 2:16 p.m. |
| Registration Date |
April 27, 2026, 12:15 p.m. |
| Last Update |
April 20, 2026, 9:54 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:talishar:talishar:*:*:*:*:*:*:*:* |
|
|
|
2026-02-22 |
Related information, measures and tools
Common Vulnerabilities List