CVE-2026-45053

Nome do Software Vulnerável e Versões Afetadas CubeCart versões anteriores a 6.7.0

Description Um problema de upload arbitrário de arquivos autenticado e travessia de caminho existe no endpoint do Gerenciador de Arquivos da API REST "POST /api/v1/files". Usuários que possuem uma chave de API com a permissão files:rw podem fazer o upload de arquivos de código PHP para o diretório images/source/, acessível via web. Ao explorar uma falha de path traversal no parâmetro filepath, um invasor pode gravar um webshell em qualquer local acessível pelo processo do servidor web, como a raiz do documento, resultando em execução remota de código.

Recommendations Atualizar para a versão 6.7.0.