anonhaven

CVE-2026-38526

CRITICAL CVSS 3.1: 9,9 EPSS 0.06%
Обновлено 17 апреля 2026
PHP
Параметр Значение
CVSS 9,9 (CRITICAL)
Тип уязвимости CWE-434 (Неограниченная загрузка файлов)
Поставщик PHP
Публичный эксплойт Да

Уязвимость загрузки произвольного файла с проверкой подлинности в конечной точке /admin/tinymce/upload Webkul Krayin CRM v2.2.x позволяет злоумышленникам выполнять произвольный код путем загрузки созданного PHP-файла.

Показать оригинальное описание (EN)

An authenticated arbitrary file upload vulnerability in the /admin/tinymce/upload endpoint of Webkul Krayin CRM v2.2.x allows attackers to execute arbitrary code via uploading a crafted PHP file.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-434 Unrestricted File Upload (Неограниченная загрузка файлов)

Ссылки 3

https://github.com/TREXNEGRO/Security-Advisories/tree/main/CVE-2026-38526
cve@mitre.org
https://github.com/krayin/laravel-crm
cve@mitre.org
https://github.com/TREXNEGRO/Security-Advisories/blob/main/CVE-2026-38526/poc.md
134c704f-9b21-4f2e-91b3-4a467353bcc0
Share Post Share Share Share

Связанные уязвимости

CVE-2026-6409

PHP

7,1

CVE-2026-37347

PHP

9,1

CVE-2026-37346

PHP

4,7

CVE-2026-37345

PHP

9,8

CVE-2026-37344

PHP

7,2