CVE-2026-52891 in Wekan
Zusammenfassung
von VulDB • 16.07.2026
Wekan ist ein Open-Source-Kanban-Board, das mit Meteor entwickelt wurde. Vor Version 9.07 eingebt die Funktion zum Hochladen von Avataren benutzergestellte Dateinamen in Pfade ein, die später an child_process.exec() zur MIME-Typ-Erkennung übergeben werden. Da models/avatars.js und models/fileValidation.js einen Shell-Befehl mit dem Avatar-Dateinamen verwendeten, konnten Shell-Metazeichen wie Backticks und $() im Dateinamen Befehle auf dem Server ausführen. Dieses Problem wurde in Version 9.07 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.