Pubblicato il 2026-07-15 · Fonte: NVD NIST
La vulnerabilità CVE-2026-52891 è stata scoperta in Wekan, un'applicazione open source kanban costruita con Meteor. La funzionalità di upload dell'avatar in Wekan incorpora i nomi dei file forniti dall'utente in percorsi che vengono successivamente passati a child_process.exec() per la rilevazione del tipo MIME. Ciò consente a un utente malintenzionato di eseguire comandi arbitrari sul server sfruttando i metacaratteri della shell presenti nel nome del file. La versione 9.07 di Wekan risolve questo problema.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari sul server, potenzialmente portando a un controllo completo del sistema. I sistemi a rischio sono quelli che utilizzano Wekan con una versione precedente alla 9.07. La gravità di questa vulnerabilità è classificata come critica, con un CVSS Score di 9.9, il che indica un impatto molto alto.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Wekan alla versione 9.07 o successiva. Se l'aggiornamento non è possibile, è importante limitare l'accesso all'upload degli avatar e monitorare attentamente le attività del server per rilevare eventuali tentativi di sfruttamento della vulnerabilità. Inoltre, è sempre una buona pratica utilizzare un Web Application Firewall (WAF) per proteggere l'applicazione da attacchi di tipo RCE (Remote Code Execution).
La vulnerabilità CVE-2026-52891 è una vulnerabilità di esecuzione di codice remoto (RCE) in Wekan che consente a un utente malintenzionato di eseguire comandi arbitrari sul server.
L'impatto della vulnerabilità è critico, con un CVSS Score di 9.9, e può portare a un controllo completo del sistema.
Per proteggersi da questa vulnerabilità, è necessario aggiornare Wekan alla versione 9.07 o successiva e limitare l'accesso all'upload degli avatar. Inoltre, è consigliabile utilizzare un Web Application Firewall (WAF) per proteggere l'applicazione da attacchi di tipo RCE.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.