Katalog CVE

CVE-2026-39276

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.27%

Percentyl 51 - wyżej niż 51% wszystkich znanych CVE

Streszczenie

Funkcja przesyłania szablonów w Emlog Pro v2.6.9 zawiera podatność na przejście ścieżki, co pozwala uwierzytelnionym administratorom na wykonywanie dowolnego kodu PHP. Atakujący może przesłać złośliwy archiwum ZIP z sekwencjami przejścia ścieżki w nazwach plików, co umożliwia nadpisanie domyślnych plików szablonów lub bezpośrednie dołączenie złośliwych plików kodu do bieżącego szablonu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, ponieważ umożliwia atakującym wykonanie dowolnego kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych, usunięciem plików lub innymi szkodliwymi działaniami.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie Emlog Pro do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć możliwość przesyłania plików tylko do zaufanych użytkowników oraz monitorować logi systemowe w celu wykrycia potencjalnych prób ataku.

Oryginalny opis (angielski, źródło NVD)

The template upload feature in Emlog Pro v2.6.9 has a path traversal vulnerability, allowing authenticated administrators to execute arbitrary PHP code. By uploading a malicious ZIP archive containing directory traversal sequences in filenames, an attacker can overwrite default template files or directly include malicious code files in the current template.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS