CVE-2026-23697 in Vtigerinfo

Zusammenfassung

von VulDB • 07.07.2026

Vtiger CRM vor Version 8.4.0 enthält eine authentifizierte Datei-Upload-Schwachstelle (file upload vulnerability), die es Benutzern mit geringen Berechtigungen ermöglicht, Remote Code Execution durch Hochladen einer .phar-Datei zu erreichen, die beliebigen PHP-Code enthält. Dies geschieht über das Documents-Modul unter Umgehung der in config.inc.php definierten Extension-Denylist, welche die Erweiterung .phar nicht ausschließt. Die hochgeladene Datei wird mit ihrer ursprünglichen .phar-Erweiterung im webzugänglichen Speicherungsverzeichnis gespeichert. Eine fehlerkonfigurierte .htaccess-Datei unter Verwendung der Apache 2.2-Syntax wird bei Bereitstellungen auf Basis von Apache 2.4 stillschweigend ignoriert, wodurch unauthentifizierte HTTP-Anfragen die hochgeladene PHP-Payload direkt ausführen können.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

14.01.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376651

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!