CVE-2026-38329
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Bludit CMS przed wersją 3.18.4 umożliwia zdalne wykonanie kodu (RCE) poprzez wtyczkę API. Punkt końcowy POST /api/files/{key} w pliku bl-plugins/api/plugin.php nie przeprowadza kontroli autoryzacji i nie weryfikuje rozszerzeń plików.
Ocena ryzyka
Atakujący z ważnym tokenem API może przesłać złośliwy skrypt PHP i wykonać dowolny kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację Bludit CMS do wersji 3.18.4 lub nowszej oraz wdrożenie dodatkowych mechanizmów weryfikacji autoryzacji i walidacji rozszerzeń plików.
Oryginalny opis (angielski, źródło NVD)
Bludit CMS before version 3.18.4 allows Remote Code Execution (RCE) via the API Plugin. The POST /api/files/{key} endpoint in bl-plugins/api/plugin.php fails to perform authorization checks and lacks file extension validation. An attacker with a valid API token can upload a malicious PHP script and execute arbitrary code on the server.

