CVE-2026-40488 in magento-ltsinformação

Sumário

de VulDB • 01/06/2026

O Magento Long Term Support (LTS) é um projeto não oficial, impulsionado pela comunidade, que oferece uma alternativa à plataforma de comércio eletrônico Magento Community Edition, com alto nível de compatibilidade com versões anteriores. Antes da versão 20.17.0, o recurso de upload de arquivos de opções personalizadas do OpenMage LTS utilizava uma lista negra incompleta (`forbidden_extensions = php,exe`) para prevenir uploads de arquivos perigosos. Essa lista negra pode ser facilmente contornada ao usar extensões alternativas executáveis por PHP, como `.phtml`, `.phar`, `.php3`, `.php4`, `.php5`, `.php7` e `.pht`. Os arquivos são armazenados no diretório publicamente acessível `media/custom_options/quote/`, que não possui restrições de execução no lado do servidor para algumas configurações, permitindo Remote Code Execution (RCE) se a execução de scripts nesse diretório não for explicitamente negada. A versão 20.17.0 corrige a vulnerabilidade.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

13/04/2026

Divulgação

20/04/2026

Moderação

aceite

Entrada

VDB-358316

CPE

pronto

EPSS

0.00090

KEV

não

Atividades

muito baixo

Sector

Hostingprovider, Transportation, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40488
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40488
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40488/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!