CVE-2026-52891المعلومات

الملخص

بحسب VulDB • 15/07/2026

Wekan هو تطبيق كانبان مفتوح المصدر مبني باستخدام Meteor. قبل الإصدار 9.07، كانت وظيفة رفع صورة الملف الشخصي (Avatar) في Wekan تضمّن أسماء الملفات التي يحددها المستخدم ضمن مسارات تُمرَّر لاحقاً إلى دالة `child_process.exec()` للكشف عن نوع MIME. ونظراً لأن ملفي models/avatars.js وmodels/fileValidation.js كانا يستخدمان أمراً نصياً (shell command) مع اسم صورة الملف الشخصي، فإن أحرف التحكم الخاصة بالنظام النصي مثل العلامات الخلفية (`backticks`) والتعبيرات `$()` الموجودة في الاسم يمكن أن تنفّذ أوامر على الخادم. تم إصلاح هذه المشكلة في الإصدار 9.07.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

المصادر

Want to know what is going to be exploited?

We predict KEV entries!