CVE-2026-41463

Nome do Software Vulnerável e Versões Afetadas ProjeQtor versões 7.0 a 12.4.3

Descrição Um problema de path traversal do tipo ZipSlip existe na funcionalidade de upload de plugins. Atacantes autenticados com permissões de upload podem gravar arquivos fora do diretório de extração pretendido utilizando arquivos ZIP que contenham sequências de travessia de diretório. Essa extração de arquivo não validada permite a inserção de um webshell PHP em um diretório acessível via web, levando à execução remota de código com os privilégios do processo do servidor web. O problema está localizado no endpoint 'uploadPlugin.php'.

Recomendações Atualize para a versão 12.4.4 ou posterior.