CVE-2026-52891
要約
〜によって VulDB • 2026年07月15日
WekanはMeteorを使用して構築されたオープンソースのカンバンツールです。バージョン9.07より前では、Wekanのアバターアップロード機能により、ユーザーが指定したファイル名がMIMEタイプの検出のためにchild_process.exec()に渡されるパス内に埋め込まれていました。models/avatars.jsおよびmodels/fileValidation.jsはアバターのファイル名を含むシェルコマンドを使用していたため、ファイル名内のバッククォートや$()などのシェルのメタ文字によってサーバー上でコマンドが実行される可能性があります。この問題はバージョン9.07で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.