CVE-2026-52891
Sumário
de VulDB • 16/07/2026
Wekan é um kanban de código aberto desenvolvido com Meteor. Antes da versão 9.07, a funcionalidade de upload de avatar do Wekan incorpora nomes de arquivos fornecidos pelo usuário em caminhos que são posteriormente passados para `child_process.exec()` para detecção de tipo MIME. Como os arquivos models/avatars.js e models/fileValidation.js utilizavam um comando shell com o nome do arquivo de avatar, metacaracteres de shell como crases (`) e $() no nome do arquivo podiam executar comandos no servidor. Este problema foi corrigido na versão 9.07.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.