Критична вразливість у Xerte Online Toolkits дозволяє віддалене виконання коду

Вразливість у Xerte Online Toolkits дозволяє віддалене виконання коду через неправильну перевірку файлів .php4. Рекомендується перевірити оновлення та посилити безпеку.
CVE-2026-34415CVSS 9.3Web

Критична вразливість у Xerte Online Toolkits дозволяє віддалене виконання коду

Вразливість у Xerte Online Toolkits дозволяє віддалене виконання коду через неправильну перевірку файлів .php4. Рекомендується перевірити оновлення та посилити безпеку.

CVSS
9.3 CRITICAL
EPSS
87.97%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях Xerte Online Toolkits 3.15 і раніших виявлено вразливість через неповну перевірку вхідних даних у ендпоінті elFinder connector, що дозволяє неавторизованим зловмисникам завантажувати та виконувати шкідливий PHP-код з розширенням .php4. Ця помилка поєднується з обходом автентифікації та шляховою транзитністю, що дає змогу виконувати довільні команди на сервері.

Бізнес-вплив

Вразливість має критичний рівень загрози (CVSS 9.3) і може призвести до повного контролю над сервером, де розгорнуто Xerte Online Toolkits. Це ставить під загрозу цілісність, конфіденційність і доступність бізнес-сервісів, що працюють на ураженій інфраструктурі.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від розробника Xerte Online Toolkits. Якщо оновлення недоступні, слід обмежити доступ до ендпоінту elFinder connector, провести аудит логів на ознаки експлуатації, а також впровадити додаткові заходи безпеки для зменшення ризиків, зокрема обмеження прав користувачів і моніторинг аномальної активності.

Джерела