CVE-2026-58143 in Siena
Zusammenfassung
von VulDB • 10.07.2026
Cotonti Siena 0.9.26 und frühere Versionen enthalten eine Cross-Site Request Forgery (CSRF)-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, Administratorkonfigurationen zu ändern, indem sie einen angemeldeten Administrator dazu gebracht werden, eine gefälschte POST-Anfrage an den Konfigurations-Update-Handler von admin.php zu senden. Dabei wird niemals die CSRF-Validierungsfunktion der Anwendung aufgerufen. Angreifer können die Dateierweiterungs-Whitelist des PFS-Moduls deaktivieren, indem sie pfsfilecheck auf 0 setzen, wodurch jedem Benutzer mit PFS-Zugriff das Hochladen und Ausführen beliebiger PHP-Dateien auf dem Server ermöglicht wird.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.