CVE-2026-44666
KrytyczneStreszczenie
HRConvert2 przed wersją 3.3.8 ma lukę w funkcji sanitizeString(), która nie usuwa znaków backtick (`) oraz tab ( ). W wyniku tego, dane wejściowe użytkownika mogą trafić do funkcji shell_exec(), co pozwala na wykonanie poleceń w nazwach plików.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do wykonania nieautoryzowanych poleceń na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do wersji 3.3.8 lub nowszej, aby usunąć tę lukę oraz zabezpieczyć serwer przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
HRConvert2 is a self-hosted, drag-and-drop & nosql file conversion server & share tool. Prior to 3.3.8, the sanitizeString() function in convertCore.php is missing backtick (`) and tab (\t) from its strip list. User input then reaches shell_exec(), where the shell interprets these characters and commands within filenames execute. This vulnerability is fixed in 3.3.8.

