CVE-2026-34414

Name of the Vulnerable Software and Affected Versions Xerte Online Toolkits versões 3.15 e anteriores

Description Um problema de travessia de caminho relativo existe no endpoint do conector elFinder '/editor/elfinder/php/connector.php'. O parâmetro name em comandos de renomeação não é devidamente sanitizado para sequências de travessia de caminho. Isso permite que atacantes movam arquivos de diretórios de mídia de projetos para locais arbitrários no sistema de arquivos. Tais ações podem levar à sobrescrita de arquivos da aplicação, cross-site scripting armazenado ou execução remota de código não autenticada ao mover arquivos de código PHP para a raiz da aplicação.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.