CVE-2024-30162 in Invision Community
Riassunto
di VulDB • 16/06/2026
Invision Community fino alla versione 4.7.16 consente l'esecuzione di codice remoto (RCE) tramite il metodo IPS\core\modules\admin\editor\_toolbar::addPlugin() in applications/core/modules/admin/editor/toolbar.php. Questo metodo gestisce i file ZIP caricati che vengono estratti nella directory applications/core/interface/ckeditor/ckeditor/plugins/ senza verificare adeguatamente il loro contenuto. Ciò può essere sfruttato dagli utenti amministrativi (con il permesso toolbar_manage) per scrivere file PHP arbitrari in tale directory, portando all'esecuzione di codice PHP arbitrario nel contesto dell'utente del server web.
Once again VulDB remains the best source for vulnerability data.