CVE-2026-41887 in frameworkinfo

Zusammenfassung

von VulDB • 09.05.2026

Flarum ist eine Open-Source-Forumsoftware. Vor den Versionen 1.8.16 und 2.0.0-rc.1 beschränkte der Patch für CVE-2023-27577 in Flarum die Verwendung der LESS-Features @import und data-uri() in der Einstellung custom_less, jedoch wurde dieselbe Einschränkung nie auf andere Einstellungen angewendet, die als LESS-Konfigurationsvariablen registriert sind (z. B. theme_primary_color und theme_secondary_color sowie jeder Schlüssel, der über Extend\Settings::registerLessConfigVar() registriert wurde). Diese Werte werden zur Kompilierzeit unverändert in den LESS-Quellcode interpoliert, wodurch ein authentifizierter Administrator einen theme-color-Wert erstellen kann, der eine beliebige @import-Direktive in das kompilierte forum.css einfügt. Da der zugrunde liegende LESS-Parser @import (inline) '' unterstützt, kann ein Angreifer beliebige Dateien lesen, auf die der PHP-Prozess Zugriff hat (Local File Inclusion) oder ausgehende HTTP(S)-Anfragen auslösen (Server-Side Request Forgery). Dieses Problem wurde in den Versionen 1.8.16 und 2.0.0-rc.1 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

22.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362306

CPE

bereit

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41887
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41887
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41887/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!