CVE-2026-23946

Nome do Software Vulnerável e Versões Afetadas Versões do Tendenci 15.3.11 e anteriores

Descrição O Tendenci, um sistema de gerenciamento de conteúdo de código aberto, apresenta um problema crítico de desserialização no módulo Helpdesk. Um usuário autenticado com nível de segurança de staff pode executar código remotamente (RCE) devido ao uso do módulo pickle do Python na funcionalidade /reports/ do helpdesk. A vulnerabilidade original, abordada pelo CVE-2020-14942, foi corrigida de forma incompleta. Embora a função ticket list() tenha sido atualizada para usar desserialização segura de JSON, a função run report() continua utilizando a insegura pickle.loads(). O impacto de uma exploração bem-sucedida está limitado às permissões da conta de usuário que executa o aplicativo, normalmente www-data. A função run report() está localizada em tendenci/apps/helpdesk/views/staff.py.

Recomendações Atualize o Tendenci para a versão 15.3.12 ou posterior.