CVE-2026-32985
🔴 Łataj teraz
Podatność w Xerte Online Toolkits umożliwia zdalne wykonanie kodu poprzez nieautoryzowane przesyłanie złośliwych archiwów ZIP. Atakujący mogą wgrać…
CVSS
9.8
EPSS
0.6%
Exploit
poc
Vendor
apereo
Opis źródłowy (NVD)
Xerte Online Toolkits versions 3.14 and earlier contain an unauthenticated arbitrary file upload vulnerability in the template import functionality that allows remote attackers to execute arbitrary code by uploading a crafted ZIP archive containing malicious PHP payloads. Attackers can bypass authentication checks in the import.php file to upload a template archive with PHP code in the media directory, which gets extracted to a web-accessible path where the malicious PHP can be directly accessed and executed under the web server context.
auth-bypass exploit
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.6% |
| Opublikowano (NVD) | 2026-03-20 00:16:18 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-16 13:42:46 UTC |
Referencje
- https://packetstorm.news/files/id/216288/ (disclosure@vulncheck.com) [Exploit, Issue Tracking, Third Party Advisory]
- https://xot.xerte.org.uk/ (disclosure@vulncheck.com) [Product]