Krytyczna luka w Xerte Online Toolkits umożliwia zdalne wykonanie kodu przez nieautoryzowanych użytkowników

Wersje Xerte Online Toolkits 3.15 i starsze mają krytyczną lukę pozwalającą na zdalne wykonanie kodu przez nieautoryzowanych użytkowników. Zalecane szybkie działania zabezpieczające.
CVE-2026-34415CVSS 9.3Web

Krytyczna luka w Xerte Online Toolkits umożliwia zdalne wykonanie kodu przez nieautoryzowanych użytkowników

Wersje Xerte Online Toolkits 3.15 i starsze mają krytyczną lukę pozwalającą na zdalne wykonanie kodu przez nieautoryzowanych użytkowników. Zalecane szybkie działania zabezpieczające.

CVSS
9.3 CRITICAL
EPSS
87.97%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach 3.15 i wcześniejszych Xerte Online Toolkits wykryto poważną lukę w walidacji wejścia w module elFinder, która nie blokuje rozszerzeń PHP takich jak .php4. Atakujący mogą wykorzystać tę lukę wraz z innymi podatnościami, aby przesłać i uruchomić złośliwy kod na serwerze.

Wpływ biznesowy

Luka ta pozwala na zdalne wykonanie dowolnych poleceń systemowych przez nieautoryzowanych użytkowników, co może prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub zakłócenia działania usług. Operatorzy infrastruktury powinni traktować tę podatność jako krytyczną i priorytetowo podjąć działania zabezpieczające.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Xerte Online Toolkits. W międzyczasie ograniczyć dostęp do modułu elFinder, monitorować logi pod kątem podejrzanej aktywności oraz stosować mechanizmy zapobiegania wstrzyknięciom i ograniczenia uprawnień na serwerze.

Źródła