Katalog CVE

CVE-2026-38526

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie Webkul Krayin CRM do najnowszej wersji oraz wdrożenie dodatkowych zabezpieczeń, aby ograniczyć możliwość przesyłania nieautoryzowanych plików.

Oryginalny opis (angielski, źródło NVD)

An authenticated arbitrary file upload vulnerability in the /admin/tinymce/upload endpoint of Webkul Krayin CRM v2.2.x allows attackers to execute arbitrary code via uploading a crafted PHP file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS