CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-38526

Critical
Published: Translated: NVD NIST

Summary

W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem.

Recommendation

Zaleca się natychmiastowe zaktualizowanie Webkul Krayin CRM do najnowszej wersji oraz wdrożenie dodatkowych zabezpieczeń, aby ograniczyć możliwość przesyłania nieautoryzowanych plików.

Original NVD description (English source)

An authenticated arbitrary file upload vulnerability in the /admin/tinymce/upload endpoint of Webkul Krayin CRM v2.2.x allows attackers to execute arbitrary code via uploading a crafted PHP file.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS