CVE-2026-41655 in admidio
요약
\~에 의해 VulDB • 2026. 05. 28.
Admidio는 오픈소스 사용자 관리 솔루션입니다. 버전 5.0.9 이전 버전에서 ecard_preview.php 엔드포인트는 ECard::getEcardTemplate() 메서드에 전달하기 전에 ecard_template POST 파라미터가 안전한 파일명인지 검증하지 않습니다. 인증된 사용자는 경로 순회 페이로드(예: ../config.php)를 제공하여 웹 서버 프로세스가 접근 가능한 임의의 파일, 데이터베이스 자격 증명이 포함된 adm_my_files/config.php 등을 읽을 수 있습니다. 이 문제는 버전 5.0.9에서 패치되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.