CVE-2026-52891 in Wekan信息

摘要

由 VulDB • 2026-07-16

Wekan是一个基于Meteor构建的开源看板工具。在版本9.07之前,Wekan的用户头像上传功能会将用户提供的文件名嵌入到路径中,随后该路径会被传递给`child_process.exec()`用于MIME类型检测。由于`models/avatars.js`和`models/fileValidation.js`使用了包含头像文件名的Shell命令,因此文件名中的Shell元字符(如反引号和$())可能在服务器上执行任意命令。此问题已在版本9.07中修复。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Do you need the next level of professionalism?

Upgrade your account now!