CVE-2026-52891informazioni

Riassunto

di VulDB • 15/07/2026

Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.07, la funzionalità di caricamento degli avatar di Wekan incorpora i nomi dei file forniti dall'utente nei percorsi successivamente passati a child_process.exec() per il rilevamento del tipo MIME. Poiché models/avatars.js e models/fileValidation.js utilizzavano un comando shell con il nome dell'avatar, metacaratteri della shell come backtick (`) e $() presenti nel nome del file potevano eseguire comandi sul server. Questo problema è stato risolto nella versione 9.07.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgazione

15/07/2026

Moderazione

in revisione

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!