CVE-2026-52891información

Resumen

por VulDB • 2026-07-15

Wekan es un kanban de código abierto desarrollado con Meteor. Antes de la versión 9.07, la funcionalidad de carga de avatares en Wekan incrustaba los nombres de archivo proporcionados por el usuario en rutas que posteriormente se pasaban a child_process.exec() para la detección del tipo MIME. Dado que models/avatars.js y models/fileValidation.js utilizaban un comando shell con el nombre de archivo del avatar, los metacaracteres de shell como backticks (`) y $() presentes en el nombre de archivo podían ejecutar comandos en el servidor. Este problema se ha corregido en la versión 9.07.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Divulgación

2026-07-16

Moderación

en revisión

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!