PT-2026-33995 · Unknown · Visitor Management System
Publicado
2026-04-21
·
Atualizado
2026-04-21
·
CVE-2026-37748
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Visitor Management System versão 1.0
Description
Uma falha de upload de arquivo irrestrito existe nos endpoints 'vms/php/admin user insert.php' e 'vms/php/update 1.php'. A função
move uploaded file() é executada sem validar o tipo MIME, a extensão ou o conteúdo. Isso permite que um administrador autenticado faça o upload de um webshell PHP, levando à execução remota de código no servidor.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Visitor Management System