Katalog CVE

CVE-2026-52778

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.05%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

YesWiki to system wiki napisany w PHP, który przed wersją 4.6.6 zawierał podatność na niebezpieczne wykonanie w kalkulatorze pól formularza Bazar (CalcField.php). Problematyczna implementacja sanitizacji matematycznych formuł użytkownika prowadzi do podatności na ataki ReDoS oraz umożliwia wykonanie dowolnego kodu PHP.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ może prowadzić do awarii serwera oraz nieautoryzowanego wykonania kodu, co zagraża integralności i dostępności systemu.

Rekomendacja

Zaleca się aktualizację do wersji 4.6.6 lub nowszej, aby usunąć tę podatność oraz zminimalizować ryzyko związane z nieautoryzowanym dostępem do systemu.

Oryginalny opis (angielski, źródło NVD)

YesWiki is a wiki system written in PHP. Prior to version 4.6.6, an unsafe execution vulnerability exists in the Bazar form field calculator (CalcField.php) of YesWiki. The application attempts to sanitize user-defined mathematical formulas using a complex recursive regular expression before passing them to the PHP eval() function. This implementation is inherently flawed: it is vulnerable to Regular Expression Denial of Service (ReDoS / Stack Overflow) which can crash the server, and it creates a high-risk architecture where any logic bypass directly results in arbitrary PHP code execution. Version 4.6.6 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS