CVE-2026-27760

Nome do Software Vulnerável e Versões Afetadas OpenCATS versões anteriores ao commit 3002a29

Descrição Um problema de injeção de código PHP não autenticado existe no endpoint AJAX do instalador. Isso permite que invasores executem código arbitrário injetando instruções PHP no parâmetro de ação databaseConnectivity. Ao usar uma aspa simples e um separador de instruções, um invasor pode sair do contexto de string define() no arquivo config.php. O código malicioso injetado persiste e é executado em cada carregamento de página subsequente enquanto o assistente de instalação permanecer incompleto.

Recomendações Atualize para o commit 3002a29 ou uma versão mais recente.