CVE-2026-34413

Name of the Vulnerable Software and Affected Versions Xerte Online Toolkits versões 3.15 e anteriores

Description Um problema de falta de autenticação existe no endpoint do conector elFinder '/editor/elfinder/php/connector.php'. Um redirecionamento HTTP para chamadores não autenticados não chama exit() ou die(), permitindo que a execução do PHP continue e processe a solicitação completa no servidor. Atacantes não autenticados podem realizar operações de arquivo em diretórios de mídia de projetos, incluindo criar, renomear, duplicar, sobrescrever e excluir arquivos, bem como fazer upload de arquivos. Isso pode ser combinado com problemas de path traversal (travessia de caminho) e blocklist de extensões para alcançar a execução remota de código e a leitura arbitrária de arquivos.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.