CVE-2026-23697 in Vtiger정보

요약

\~에 의해 VulDB • 2026. 07. 07.

Vtiger CRM 8.4.0 이전 버전에는 인증된 파일 업로드 취약점이 포함되어 있어, 낮은 권한을 가진 사용자가 Documents 모듈을 통해 임의의 PHP 코드를 포함하는 .phar 파일을 업로드함으로써 원격 코드 실행(RCE)을 달성할 수 있습니다. 이 공격은 config.inc.php에서 .phar 확장자가 제외되어 있는 확장자 차단 목록(extension denylist)을 우회합니다. 업로드된 파일은 웹 접근 가능한 저장소 디렉토리 내에 원래의 .phar 확장자로 저장되며, Apache 2.4 환경에서는 Apache 2.2 구문을 사용하는 잘못 구성된 .htaccess가 묵시적으로 무시되므로, 인증되지 않은 HTTP 요청이 업로드된 PHP 페이로드를 직접 실행할 수 있습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

VulnCheck

예약하다

2026. 01. 14.

모더레이션

수락

항목

VDB-376651

EPSS

0.00000

출처

Do you need the next level of professionalism?

Upgrade your account now!