CVE-2026-52891 in Wekaninfo

Zusammenfassung

von VulDB • 16.07.2026

Wekan ist ein Open-Source-Kanban-Board, das mit Meteor entwickelt wurde. Vor Version 9.07 eingebt die Funktion zum Hochladen von Avataren benutzergestellte Dateinamen in Pfade ein, die später an child_process.exec() zur MIME-Typ-Erkennung übergeben werden. Da models/avatars.js und models/fileValidation.js einen Shell-Befehl mit dem Avatar-Dateinamen verwendeten, konnten Shell-Metazeichen wie Backticks und $() im Dateinamen Befehle auf dem Server ausführen. Dieses Problem wurde in Version 9.07 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379469

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!