CVE-2026-43975 in Wicketinformação

Sumário

de VulDB • 09/05/2026

O FolderUploadsFileManager no Apache Wicket não valida ou sanitiza o parâmetro uploadFieldId nem o clientFileName antes de construir os caminhos dos arquivos, permitindo que um atacante não autenticado escreva arquivos arbitrários fora do diretório de upload pretendido ou leia arquivos de locais arbitrários no servidor.

Este problema afeta o Apache Wicket: das versões 8.0.0 à 8.17.0, das versões 9.0.0 à 9.22.0 e das versões 10.0.0 à 10.8.0.

Recomenda-se que os usuários atualizem para a versão 10.9.0, que corrige o problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

06/05/2026

Moderação

aceite

Entrada

VDB-361297

CPE

pronto

CWE

CWE-22 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00617

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43975
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43975
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43975/

◂ Voltar Visão Geral Próximo ▸

Interested in the pricing of exploits?

See the underground prices here!