CVE-2026-44377 in Cubecartinfo

Zusammenfassung

von VulDB • 13.05.2026

CubeCart ist eine E-Commerce-Softwarelösung. Vor Version 6.7.0 besteht in mehreren Modulen von CubeCart (einschließlich E-Mail-Vorlagen und Dokumenten) eine Authenticated Server-Side Template Injection (SSTI)-Schwachstelle. Die Anwendung wertet benutzergestellte Eingaben unsicher direkt über die Smarty-Vorlagen-Engine aus. Durch Ausnutzung dieser Schwachstelle kann ein authentifizierter Angreifer mit Administratorrechten aktuelle Einschränkungen umgehen und native PHP-Funktionen innerhalb der Vorlagen aufrufen, wie z. B. readgzfile(), um sensible Konfigurationsdateien zu lesen, oder error_log(), um einen bösartigen PHP-Webshell zu schreiben, was letztendlich zu Information Disclosure und vollständiger Remote Code Execution (RCE) führt. Diese Schwachstelle wurde in Version 6.7.0 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

05.05.2026

Veröffentlichung

14.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363746

CPE

bereit

EPSS

0.00191

KEV

nein

Aktivitäten

low

Sektor

Telecommunication, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44377
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44377
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44377/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!