PT-2026-36762 · Funadmin · Funadmin
Anch0R
·
Publicado
2026-05-04
·
Atualizado
2026-05-04
·
CVE-2026-7733
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
funadmin versões anteriores a 7.1.0-rc6
Descrição
Uma falha no Frontend Chunked Upload Endpoint permite que atacantes remotos realizem uploads de arquivos irrestritos. Este problema ocorre na função
chunkUpload() do arquivo app/common/service/UploadService.php devido ao manuseio inadequado do argumento File.Recomendações
Implantar o patch 59 para resolver o problema em versões anteriores a 7.1.0-rc6.
Como medida paliativa temporária, restrinja o acesso à função
chunkUpload() até que o patch seja aplicado.Exploit
Correção
Unrestricted File Upload
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Funadmin