CVE-2026-44521

Nome do Software Vulnerável e Versões Afetadas elFinder versões anteriores a 2.1.68

Description Uma injeção de SQL autenticada existe no driver de volume MySQL (elFinderVolumeMySQL). Este problema permite que qualquer usuário logado, incluindo aqueles com acesso apenas de leitura, injete comandos SQL por meio de um hash de arquivo manipulado passado através do parâmetro target. A falha ocorre porque os hashes de arquivos são decodificados sem validar se o resultado é um identificador de objeto MySQL válido antes de serem usados em consultas nas funções cacheDir(), joinPath(), stat() e fopen(). Isso pode levar à divulgação não autorizada de dados acessíveis à conta MySQL, como conteúdos de arquivos e metadados do banco de dados, ou causar a negação de serviço devido ao consumo excessivo de memória resultante de consultas excessivamente amplas. Este problema afeta apenas instalações configuradas para usar o driver de volume MySQL; aquelas que utilizam o driver padrão LocalFileSystem não são afetadas.

Recommendations Atualizar para a versão 2.1.68. Como mitigação temporária, restrinja o acesso ao driver elFinderVolumeMySQL ou evite o uso do parâmetro target no driver afetado até que a atualização seja aplicada.