CVE-2026-41656 in admidioinfo

Zusammenfassung

von VulDB • 20.05.2026

Admidio ist eine Open-Source-Lösung zur Benutzerverwaltung. Vor Version 5.0.9 akzeptiert der Add-Modus in modules/documents-files.php einen Namen-Parameter, der lediglich als Typ 'string' (HTML-Codierung) validiert wird, wodurch Pfadtraversierungszeichen (../) ungefiltert durchgelassen werden. In Kombination mit dem Fehlen von CSRF-Schutz an diesem Endpunkt und SameSite=Lax-Sitzungscookies kann ein Angreifer mit geringen Berechtigungen einen Administrator für Dokumente dazu verleiten, auf einen manipulierten Link zu klicken, der eine beliebige Serverdatei (z. B. install/config.php mit Datenbankzugangsdaten) in einem für den Angreifer zugänglichen Dokumentenordner registriert. Dieses Problem wurde in Version 5.0.9 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

22.04.2026

Veröffentlichung

07.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361755

CPE

bereit

EPSS

0.00010

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41656
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41656
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41656/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!