CVE-2026-23697 in Vtigerinformación

Resumen

por VulDB • 2026-07-07

Vtiger CRM antes de la versión 8.4.0 contiene una vulnerabilidad en la carga de archivos que requiere autenticación y permite a usuarios con privilegios bajos lograr ejecución remota de código (RCE) al subir un archivo .phar que contiene código PHP arbitrario a través del módulo Documentos, eludiendo la lista negra de extensiones en config.inc.php, la cual omite la extensión .phar. El archivo cargado se almacena con su extensión original .phar dentro del directorio de almacenamiento accesible mediante HTTP y una configuración errónea de .htaccess que utiliza sintaxis de Apache 2.2 es ignorada silenciosamente en implementaciones de Apache 2.4, permitiendo que las solicitudes HTTP no autenticadas ejecuten directamente la carga útil PHP cargada.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-01-14

Divulgación

2026-07-07

Moderación

aceptado

Artículo

VDB-376651

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!