CVE-2026-23697 in Vtigerinformação

Sumário

de VulDB • 07/07/2026

O Vtiger CRM anterior à versão 8.4.0 contém uma vulnerabilidade de upload autenticado de arquivos que permite a usuários com privilégios baixos executar código remoto (RCE) ao fazer o upload de um arquivo .phar contendo código PHP arbitrário através do módulo Documentos, burlando a lista negada de extensões em config.inc.php, que omite a extensão .phar. O arquivo carregado é armazenado com sua extensão original .phar no diretório de armazenamento acessível via web, e um arquivo .htaccess mal configurado usando sintaxe Apache 2.2 é ignorado silenciosamente em implantações do Apache 2.4, permitindo que solicitações HTTP não autenticadas executem diretamente a carga útil PHP carregada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

VulnCheck

Reservar

14/01/2026

Divulgação

07/07/2026

Moderação

aceite

Entrada

VDB-376651

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!