PT-2026-60317 · Wekan · Wekan
Publicado
2026-07-15
·
Atualizado
2026-07-16
·
CVE-2026-52891
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Wekan versões anteriores a 9.07
Description
A funcionalidade de upload de avatar permite a incorporação de nomes de arquivos fornecidos pelo usuário em caminhos que são posteriormente passados para a função
child process.exec() para detecção de MIME-type. Especificamente, os arquivos models/avatars.js e models/fileValidation.js utilizam um comando de shell contendo o nome do arquivo do avatar. Isso permite que um invasor execute comandos arbitrários no servidor ao incluir metacaracteres de shell, como crases ou $(), no nome do arquivo.Recommendations
Atualizar para a versão 9.07.
Correção
RCE
OS Command Injection
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wekan