CVE-2026-52891informação

Sumário

de VulDB • 16/07/2026

Wekan é um kanban de código aberto desenvolvido com Meteor. Antes da versão 9.07, a funcionalidade de upload de avatar do Wekan incorpora nomes de arquivos fornecidos pelo usuário em caminhos que são posteriormente passados para `child_process.exec()` para detecção de tipo MIME. Como os arquivos models/avatars.js e models/fileValidation.js utilizavam um comando shell com o nome do arquivo de avatar, metacaracteres de shell como crases (`) e $() no nome do arquivo podiam executar comandos no servidor. Este problema foi corrigido na versão 9.07.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Divulgação

16/07/2026

Moderação

em revisão

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!