CVE-2026-48946
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w komponencie K2 umożliwia autorom przesyłanie plików PHP jako załączników do artykułów. Serwer Apache wykonuje te pliki, co pozwala na zdalne wykonanie kodu PHP w kontekście serwera WWW.
Ocena ryzyka
Atakujący z uprawnieniami autora może uzyskać pełną kontrolę nad serwerem WWW, wykraść dane, zainstalować złośliwe oprogramowanie lub wykorzystać serwer do dalszych ataków.
Rekomendacja
Należy natychmiast zablokować możliwość przesyłania plików PHP w komponencie K2 oraz skonfigurować serwer Apache tak, aby nie wykonywał plików PHP w katalogu /media/k2/attachments/.
Oryginalny opis (angielski, źródło NVD)
The K2 frontend article-attachment upload path accepts files whose extension is `.php`, and Apache's standard mod_php matches `\.php$` and executes them under the K2 web user. A K2 Author can upload a `shell.php`, then fetch `/media/k2/attachments/shell.php` and execute arbitrary PHP code in the web server's context.

