CVE-2026-49954

Nome do Software Vulnerável e Versões Afetadas Discuz! X5.0 versões 20260320 a 20260610

Description Existe um problema onde administradores autenticados podem executar código arbitrário ao importar uma configuração de plugin especialmente criada. Isso é feito incluindo sequências de path traversal no atributo directory. Ao disparar uma exceção durante a instalação do plugin, as rotinas de sanitização são ignoradas, permitindo que caminhos maliciosos sejam armazenados e posteriormente passados para a função include(). Quando combinado com a funcionalidade de upload de arquivos, isso leva à execução de código arbitrário no contexto do usuário do servidor web.

Recommendations Atualize o Discuz! X5.0 para uma versão lançada após 20260610.