CRITICAL🇬🇧 English

CVE-2026-34415

RCE w Xerte Online Toolkits — upload PHP via niekompletną walidację rozszerzeń

CVSS 9.3v4.0pub. 2026-04-22upd. 2026-04-24

Xerte Online Toolkits w wersjach 3.15 i wcześniejszych zawiera lukę w walidacji danych wejściowych w endpoincie elFinder, która nie blokuje rozszerzenia .php4 z powodu błędnego wyrażenia regularnego. Nieuwierzytelniony atakujący może połączyć tę podatność z obejściem uwierzytelnienia i path traversal, aby przesłać złośliwy kod PHP i wykonać dowolne polecenia systemowe na serwerze.

Pokaż oryginał (EN)

Xerte Online Toolkits versions 3.15 and earlier contain an incomplete input validation vulnerability in the elFinder connector endpoint that fails to block PHP-executable extensions .php4 due to an incorrect regex pattern. Unauthenticated attackers can exploit this flaw combined with authentication bypass and path traversal vulnerabilities to upload malicious PHP code, rename it with a .php4 extension, and execute arbitrary operating system commands on the server.

🤖 Analiza AI
Jak działa

Endpoint elFinder connector nieprawidłowo filtruje przesyłane pliki — błędny wzorzec regex pomija rozszerzenie .php4, które jest interpretowane przez serwer jako wykonywalny kod PHP. Atakujący najpierw wykorzystuje podatność na obejście uwierzytelnienia, a następnie stosuje path traversal, aby umieścić plik w dostępnej lokalizacji. Po przesłaniu pliku i zmianie jego nazwy na rozszerzenie .php4 możliwe jest zdalne wykonanie dowolnych poleceń systemu operacyjnego na serwerze (RCE).

Skutki

Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnych poleceń systemowych (RCE), co może prowadzić do przejęcia danych, instalacji backdoor lub dalszego lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne w repozytorium producenta (commity: 02661be88cc369325ea01b508086bde7fbfec805, 17e4f945fe6a3400fa88c01eda18c1075ee4a212, 507d55c5e91bf9310b5b1c7fad8aebfef902ad23) oraz zaktualizować oprogramowanie do wersji pozbawionej tej podatności zgodnie z referencjami producenta. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu do endpointu elFinder na poziomie firewall lub serwera WWW.

Kogo dotyczy

Xerte Online Toolkits w wersji 3.15 i wcześniejszych

Uwagi

Publicznie dostępny jest kod exploita (proof-of-concept) opublikowany w repozytorium https://github.com/bootstrapbool/xerteonlinetoolkits-rce. Podatność jest kombinacją trzech odrębnych słabości: niekompletnej walidacji rozszerzeń (CWE-184), obejścia uwierzytelnienia oraz path traversal.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path TraversalAuth Bypass
CWE
Referencje