CVE-2026-48941
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w komponencie K2 dla Joomla! umożliwia nieuwierzytelnionemu atakującemu usunięcie dowolnego katalogu poprzez parametr `sigProFolder` w zadaniu `item.checkin`. Atakujący może wykorzystać tę lukę do usunięcia katalogów galerii w ścieżce `/media/k2/galleries/`.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego usunięcia katalogów galerii bez uwierzytelnienia, co może prowadzić do utraty danych, zakłócenia działania strony lub dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zaktualizować komponent K2 do najnowszej wersji, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji zaleca się wyłączenie zadania `item.checkin` lub zastosowanie reguł WAF blokujących niebezpieczne parametry.
Oryginalny opis (angielski, źródło NVD)
The K2 frontend `item.checkin` task accepts an unauthenticated `sigProFolder` query parameter and uses it directly to address a `JFolder::delete()` call under `/media/k2/galleries/`

