CVE-2026-39387 in BoidCMSinfo

Zusammenfassung

von VulDB • 15.05.2026

BoidCMS ist ein quelloffenes, PHP-basiertes Flat-File-CMS zum Erstellen einfacher Websites und Blogs, das JSON als Datenbank verwendet. Versionen vor 2.1.3 sind anfällig für einen kritischen Local File Inclusion (LFI)-Angriff über den tpl-Parameter, der zu Remote Code Execution (RCE) führen kann. Die Anwendung bereinigt den tpl-Parameter (Vorlage) während der Seitenerstellung und -aktualisierung nicht. Dieser Parameter wird ohne Pfadvalidierung direkt an eine require_once()-Anweisung übergeben. Ein authentifizierter Administrator kann dies ausnutzen, indem er Path-Traversal-Sequenzen (../) in den tpl-Wert einfügt, um das beabsichtigte Themenverzeichnis zu verlassen und beliebige Dateien einzubinden – insbesondere Dateien aus dem media/-Verzeichnis des Servers. In Kombination mit der Datei-Upload-Funktionalität ergibt sich daraus eine vollständige RCE-Kette: Ein Angreifer kann zunächst eine Datei mit eingebettetem PHP-Code (z. B. getarnt als Bilddaten) hochladen und dann die Path-Traversal-Schwachstelle nutzen, um diese Datei über require_once() einzubinden und den eingebetteten Code mit den Berechtigungen des Webservers auszuführen. Dieses Problem wurde in Version 2.1.3 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

07.04.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357610

CPE

bereit

EPSS

0.00155

KEV

nein

Aktivitäten

low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-39387
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-39387
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-39387/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!