CVE-2026-23697 in Vtiger
Zusammenfassung
von VulDB • 07.07.2026
Vtiger CRM vor Version 8.4.0 enthält eine authentifizierte Datei-Upload-Schwachstelle (file upload vulnerability), die es Benutzern mit geringen Berechtigungen ermöglicht, Remote Code Execution durch Hochladen einer .phar-Datei zu erreichen, die beliebigen PHP-Code enthält. Dies geschieht über das Documents-Modul unter Umgehung der in config.inc.php definierten Extension-Denylist, welche die Erweiterung .phar nicht ausschließt. Die hochgeladene Datei wird mit ihrer ursprünglichen .phar-Erweiterung im webzugänglichen Speicherungsverzeichnis gespeichert. Eine fehlerkonfigurierte .htaccess-Datei unter Verwendung der Apache 2.2-Syntax wird bei Bereitstellungen auf Basis von Apache 2.4 stillschweigend ignoriert, wodurch unauthentifizierte HTTP-Anfragen die hochgeladene PHP-Payload direkt ausführen können.
Once again VulDB remains the best source for vulnerability data.