Description
A vulnerability has been found in yeqifu carRental up to 3fabb7eae93d209426638863980301d6f99866b3. This affects the function removeFileByPath of the file src/main/java/com/yeqifu/sys/utils/AppFileUtils.java. The manipulation of the argument carimg leads to path traversal. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. This product adopts a rolling release strategy to maintain continuous delivery
In yeqifu carRental bis 3fabb7eae93d209426638863980301d6f99866b3 wurde eine Schwachstelle gefunden. Es betrifft die Funktion removeFileByPath der Datei src/main/java/com/yeqifu/sys/utils/AppFileUtils.java. Die Veränderung des Parameters carimg resultiert in path traversal. Der Angriff kann remote ausgeführt werden. Der Exploit ist öffentlich verfügbar und könnte genutzt werden. Dieses Produkt verzichtet auf eine Versionierung und verwendet stattdessen Rolling Releases. Deshalb sind keine Details zu betroffenen oder zu aktualisierende Versionen vorhanden.
Problem types
Product status
Timeline
| 2025-08-29: | Advisory disclosed |
| 2025-08-29: | VulDB entry created |
| 2025-08-29: | VulDB entry last update |
Credits
CoiledMag4 (VulDB User)
References
vuldb.com/?id.321858 (VDB-321858 | yeqifu carRental AppFileUtils.java removeFileByPath path traversal)
vuldb.com/?ctiid.321858 (VDB-321858 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.636624 (Submit #636624 | https://github.com/yeqifu/carRental carRental 1.0 Memory Corruption)
github.com/...blob/main/Unrestricted deletion of any file.md
