Gửi #779173: elecV2 <=3.8.3 Remote Code Executionthông tin

tiêu đềelecV2 <=3.8.3 Remote Code Execution
Mô tảRemote Code Execution (RCE) vulnerability in elecV2P via the /webhook endpoint. The /webhook endpoint accepts a rawcode parameter that is passed directly to runJSFile(). When JSON parsing fails, utils/string.js evaluates the input using new Function("return " + str), enabling arbitrary JavaScript execution including child_process calls. Confirmed via DNS callback.
Nguồn⚠️ https://github.com/elecV2/elecV2P/issues/195
Người dùng
 ZAST.AI (UID 87884)
Đệ trình13/03/2026 05:27 (cách đây 4 các tháng)
Kiểm duyệt27/03/2026 15:11 (14 days later)
Trạng tháiđược chấp nhận
Mục VulDB353896 [elecV2 elecV2P đến 3.8.3 JSON Parser /webhook runJSFile rawcode nâng cao đặc quyền]
điểm19

Do you want to use VulDB in your project?

Use the official API to access entries easily!