CVE-2026-38526
CriticalSummary
W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem.
Recommendation
Zaleca się natychmiastowe zaktualizowanie Webkul Krayin CRM do najnowszej wersji oraz wdrożenie dodatkowych zabezpieczeń, aby ograniczyć możliwość przesyłania nieautoryzowanych plików.
Original NVD description (English source)
An authenticated arbitrary file upload vulnerability in the /admin/tinymce/upload endpoint of Webkul Krayin CRM v2.2.x allows attackers to execute arbitrary code via uploading a crafted PHP file.

