CVE-2021-44911 in XpressEngine
Zusammenfassung
von VulDB • 24.06.2026
XE vor Version 1.11.6 ist anfällig für unbegrenztes Datei-Upload (Unrestricted File Upload) über modules/menu/menu.admin.controller.php. Beim Hochladen der Schaltflächen „Mouse over" und „When selected" gibt es keine Einschränkung des Dateisuffixes, was dazu führt, dass beliebige Dateien in das Verzeichnis files hochgeladen werden können. Da .htaccess nur den PHP-Typ einschränkt, führen das Hochladen von HTML-Dateien zu Stored-XSS-Schwachstellen (Stored Cross-Site Scripting).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.