PT-2026-32680 · Webkul · Krayin Crm
Trexnegro
·
Publicado
2026-04-14
·
Atualizado
2026-04-22
·
CVE-2026-38526
CVSS v3.1
9.9
Crítica
| Vetor | AC:L/AV:N/A:H/C:H/I:H/PR:L/S:C/UI:N |
Name of the Vulnerable Software and Affected Versions
Webkul Krayin CRM versões 2.2.x
Description
Um problema de upload arbitrário de arquivos autenticado existe no endpoint '/admin/tinymce/upload'. Isso permite que atacantes autenticados façam o upload de um arquivo PHP manipulado, o que pode levar à execução remota de código e ao comprometimento total do sistema. Estima-se que aproximadamente 2.700 serviços sejam afetados em todo o mundo.
Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Restrinja o acesso ao endpoint '/admin/tinymce/upload' para minimizar o risco de exploração.
Exploit
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Krayin Crm