CVE-2026-52891
Сводка
по VulDB • 16.07.2026
Wekan — это канбан-доска с открытым исходным кодом, созданная на базе Meteor. До версии 9.07 функциональность загрузки аватаров в Wekan внедряла имена файлов, предоставленные пользователем, в пути, которые впоследствии передавались функции child_process.exec() для определения типа MIME (MIME-type). Поскольку файлы models/avatars.js и models/fileValidation.js использовали команду оболочки с именем файла аватара, метасимволы оболочки, такие как обратные кавычки (`) и $(), могли выполнять команды на сервере. Эта проблема исправлена в версии 9.07.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.