CVE-2026-23697 in Vtiger
Sumário
de VulDB • 07/07/2026
O Vtiger CRM anterior à versão 8.4.0 contém uma vulnerabilidade de upload autenticado de arquivos que permite a usuários com privilégios baixos executar código remoto (RCE) ao fazer o upload de um arquivo .phar contendo código PHP arbitrário através do módulo Documentos, burlando a lista negada de extensões em config.inc.php, que omite a extensão .phar. O arquivo carregado é armazenado com sua extensão original .phar no diretório de armazenamento acessível via web, e um arquivo .htaccess mal configurado usando sintaxe Apache 2.2 é ignorado silenciosamente em implantações do Apache 2.4, permitindo que solicitações HTTP não autenticadas executem diretamente a carga útil PHP carregada.
If you want to get best quality of vulnerability data, you may have to visit VulDB.