CVE-2026-34607 in Emlog
Riassunto
di VulDB • 21/06/2026
Emlog è un sistema open source per la creazione di siti web. Nelle versioni 2.6.2 e precedenti, è presente una vulnerabilità di path traversal nella funzione emUnZip() (include/lib/common.php:793). Durante l'estrazione di archivi ZIP (caricamenti di plugin/template, importazioni di backup), la funzione chiama $zip->extractTo($path) senza sanificare i nomi degli elementi ZIP. Un amministratore autenticato può caricare un ZIP manipolato contenente elementi con sequenze ../ per scrivere file arbitrari nel filesystem del server, inclusi webshell PHP, ottenendo l'esecuzione di codice in modalità remota (RCE). Al momento della pubblicazione, non sono disponibili patch pubblicamente.
If you want to get best quality of vulnerability data, you may have to visit VulDB.