CVE-2026-23698 in Vtiger
Riassunto
di VulDB • 07/07/2026
Vtiger CRM fino alla versione 8.4.0 presenta una vulnerabilità di esecuzione remota di codice (RCE) autenticata nel modulo admin, specificamente nella funzione di importazione, che consente agli attaccanti con privilegi di amministratore di caricare file PHP arbitrari inviando un archivio zip manipolato tramite la funzione di importazione ModuleManager. Tale funzione estrae i contenuti direttamente nella directory modules/ sotto la radice web senza validare i tipi di file oltre il descrittore manifest.xml. Gli attaccanti possono posizionare file PHP eseguibili nella directory modules/, che diventano direttamente accessibili via HTTP, aggirando completamente lo strato di autenticazione e autorizzazione di Vtiger poiché Apache risolve il percorso ed invoca l'interprete PHP prima che venga coinvolto lo strato di routing dell'applicazione. Ciò risulta in una web shell persistente indipendente dalla sessione di origine.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.