CVE-2026-32985 in Online Toolkitsinformación

Resumen

por MITRE • 2026-03-20

Las versiones 3.14 y anteriores de Xerte Online Toolkits contienen una vulnerabilidad de carga arbitraria de archivos no autenticada en la funcionalidad de importación de plantillas. El problema existe en /website_code/php/import/import.php donde la falta de comprobaciones de autenticación permiten a un atacante cargar un archivo ZIP manipulado disfrazado como una plantilla de proyecto. El archivo puede contener una carga útil PHP maliciosa colocada en el directorio media/, que se extrae en una ruta USER-FILES/{projectID}--{targetFolder}/ accesible desde la web. Un atacante puede entonces acceder directamente al archivo PHP cargado para lograr la ejecución remota de código bajo el contexto del servidor web.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-03-17

Divulgación

2026-03-20

Moderación

aceptado

Artículo

VDB-351774

CPE

listo

EPSS

0.69999

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32985
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32985
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32985/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!