| tiêu đề | elecV2 <=3.8.3 Remote Code Execution |
|---|
| Mô tả | Remote Code Execution (RCE) vulnerability in elecV2P via the /webhook endpoint.
The /webhook endpoint accepts a rawcode parameter that is passed directly to runJSFile(). When JSON parsing fails, utils/string.js evaluates the input using new Function("return " + str), enabling arbitrary JavaScript execution including child_process calls. Confirmed via DNS callback. |
|---|
| Nguồn | ⚠️ https://github.com/elecV2/elecV2P/issues/195 |
|---|
| Người dùng | ZAST.AI (UID 87884) |
|---|
| Đệ trình | 13/03/2026 05:27 (cách đây 4 các tháng) |
|---|
| Kiểm duyệt | 27/03/2026 15:11 (14 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 353896 [elecV2 elecV2P đến 3.8.3 JSON Parser /webhook runJSFile rawcode nâng cao đặc quyền] |
|---|
| điểm | 19 |
|---|