CVE-2026-23698 in Vtigerinformazioni

Riassunto

di VulDB • 07/07/2026

Vtiger CRM fino alla versione 8.4.0 presenta una vulnerabilità di esecuzione remota di codice (RCE) autenticata nel modulo admin, specificamente nella funzione di importazione, che consente agli attaccanti con privilegi di amministratore di caricare file PHP arbitrari inviando un archivio zip manipolato tramite la funzione di importazione ModuleManager. Tale funzione estrae i contenuti direttamente nella directory modules/ sotto la radice web senza validare i tipi di file oltre il descrittore manifest.xml. Gli attaccanti possono posizionare file PHP eseguibili nella directory modules/, che diventano direttamente accessibili via HTTP, aggirando completamente lo strato di autenticazione e autorizzazione di Vtiger poiché Apache risolve il percorso ed invoca l'interprete PHP prima che venga coinvolto lo strato di routing dell'applicazione. Ciò risulta in una web shell persistente indipendente dalla sessione di origine.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

14/01/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!