VU#734812:Xerte Online Toolkit 存在一个身份验证绕过漏洞,可导致远程代码执行(RCE)
在开源电子学习开发工具 Xerte Online Toolkits 中已发现两个关键漏洞。第一个漏洞 CVE-2026-14261 允许未认证的攻击者获取管理员访问权限。该漏洞利用安装后遗留的持久化 /setup/ 目录实现。攻击者可重新配置应用程序以连接其控制的远程数据库。随后,拥有管理员权限的攻击者可利用 CVE-2026-12116。第二个漏洞涉及工具设置中可编辑的防病毒二进制文件路径。通过将该路径重定向至 PHP 解释器,上传的文件可被作为 PHP 代码执行,从而导致受影响服务器上的远程代码执行。这些漏洞的影响包括持久化访问、数据窃取以及潜在的供应链攻击。Xerte Online Toolkits v3.15.5 或 v3.14.6 包含针对这些问题的修复。用户应手动删除 /setup/ 文件夹并升级至已打补丁的版本。修复措施包括自动删除 /setup/ 目录并保护敏感配置文件。