Katalog CVE

CVE-2026-48941

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność w komponencie K2 dla Joomla! umożliwia nieuwierzytelnionemu atakującemu usunięcie dowolnego katalogu poprzez parametr `sigProFolder` w zadaniu `item.checkin`. Atakujący może wykorzystać tę lukę do usunięcia katalogów galerii w ścieżce `/media/k2/galleries/`.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego usunięcia katalogów galerii bez uwierzytelnienia, co może prowadzić do utraty danych, zakłócenia działania strony lub dalszej eskalacji ataku.

Rekomendacja

Należy natychmiast zaktualizować komponent K2 do najnowszej wersji, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji zaleca się wyłączenie zadania `item.checkin` lub zastosowanie reguł WAF blokujących niebezpieczne parametry.

Oryginalny opis (angielski, źródło NVD)

The K2 frontend `item.checkin` task accepts an unauthenticated `sigProFolder` query parameter and uses it directly to address a `JFolder::delete()` call under `/media/k2/galleries/`

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS