VU#734812: Xerte Online Toolki... Заметка

VU#734812: Xerte Online Toolkit содержит обход аутентификации, позволяющий удаленное выполнение кода.

В Xerte Online Toolkits, инструменте с открытым исходным кодом для создания электронного обучения, выявлены две критические уязвимости. Первая уязвимость, CVE-2026-14261, позволяет неаутентифицированным злоумышленникам получить административный доступ. Это достигается путем использования постоянного каталога /setup/ после установки. Злоумышленники могут перенастроить приложение для подключения к удаленной базе данных, которую они контролируют. Впоследствии злоумышленник с правами администратора может использовать CVE-2026-12116. Эта вторая уязвимость включает в себя редактируемый путь к бинарному файлу антивируса в настройках инструмента. Перенаправив этот путь на интерпретатор PHP, загруженные файлы могут быть выполнены как PHP-код. Это приводит к удаленному выполнению кода на затронутом сервере. Последствия этих уязвимостей включают постоянный доступ, утечку данных и потенциальные атаки на цепочку поставок. Xerte Online Toolkits v3.15.5 или v3.14.6 включают исправления для этих проблем. Пользователям следует вручную удалить папку /setup/ и обновиться до исправленных версий. Исправления включают автоматическое удаление каталога /setup/ и защиту конфиденциальных файлов конфигурации.