PT-2026-60317 · Wekan · Wekan

Publicado

2026-07-15

·

Atualizado

2026-07-16

·

CVE-2026-52891

CVSS v3.1

9.9

Crítica

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Wekan versões anteriores a 9.07
Description A funcionalidade de upload de avatar permite a incorporação de nomes de arquivos fornecidos pelo usuário em caminhos que são posteriormente passados para a função child process.exec() para detecção de MIME-type. Especificamente, os arquivos models/avatars.js e models/fileValidation.js utilizam um comando de shell contendo o nome do arquivo do avatar. Isso permite que um invasor execute comandos arbitrários no servidor ao incluir metacaracteres de shell, como crases ou $(), no nome do arquivo.
Recommendations Atualizar para a versão 9.07.

Correção

RCE

OS Command Injection

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-52891

Produtos afetados

Wekan