CVE-2026-38526
KrytyczneStreszczenie
W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie Webkul Krayin CRM do najnowszej wersji oraz wdrożenie dodatkowych zabezpieczeń, aby ograniczyć możliwość przesyłania nieautoryzowanych plików.
Oryginalny opis (angielski, źródło NVD)
An authenticated arbitrary file upload vulnerability in the /admin/tinymce/upload endpoint of Webkul Krayin CRM v2.2.x allows attackers to execute arbitrary code via uploading a crafted PHP file.

