Katalog CVE

CVE-2026-41247

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

elFinder to otwartoźródłowy menedżer plików dla sieci, napisany w JavaScript z użyciem jQuery UI. W wersjach przed 2.1.67 występuje podatność na wstrzykiwanie poleceń w komendzie resize, gdzie parametr bg (kolor tła) jest akceptowany z wejścia użytkownika i przekazywany do przetwarzania obrazu bez odpowiedniego zabezpieczenia.

Ocena ryzyka

Atakujący, który może wywołać komendę resize z odpowiednio przygotowaną wartością bg, może uzyskać możliwość wykonania dowolnych poleceń jako proces użytkownika serwera WWW, co stanowi poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację elFindera do wersji 2.1.67 lub nowszej, aby usunąć tę podatność oraz zapewnić odpowiednie zabezpieczenia w konfiguracji systemu.

Oryginalny opis (angielski, źródło NVD)

elFinder is an open-source file manager for web, written in JavaScript using jQuery UI. Prior to 2.1.67, elFinder contains a command injection vulnerability in the resize command. The bg (background color) parameter is accepted from user input and passed through image resize/rotate processing. In configurations that use the ImageMagick CLI backend, this value is incorporated into shell command strings without sufficient escaping. An attacker able to invoke the resize command with a crafted bg value may achieve arbitrary command execution as the web server process user. This vulnerability is fixed in 2.1.67.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS