CVE-2026-28269

Kiteworks Core has an OS Command Injection

CVSS 5.9 MEDIUMEPSS 2.0%CWE-78

En resumen

Kiteworks permite que usuarios autenticados redirijan la salida de comandos a archivos arbitrarios, pudiendo sobrescribir archivos críticos del sistema y obtener acceso elevado. Es una vulnerabilidad de inyección de comandos que requiere una cuenta de usuario existente para ser explotada.

Detalle técnico

Inyección de comandos OS (CWE-78) en Kiteworks Core anterior a la versión 9.2.0 permite que usuarios autenticados manipulen el redireccionamiento de salida de comandos a rutas de archivo arbitrarias. La vulnerabilidad permite ataques de sobrescritura de archivos del sistema, potencialmente conduciendo a escalación de privilegios. El vector de ataque requiere credenciales de autenticación válidas y acceso a la funcionalidad vulnerable de ejecución de comandos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kiteworks is a private data network (PDN). Prior to version 9.2.0, avulnerability in Kiteworks command execution functionality allows authenticated users to redirect command output to arbitrary file locations. This could be exploited to overwrite critical system files and gain elevated access. Version 9.2.0 contains a patch.

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N

Productos afectados

kiteworks · security-advisories

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-6j64-6fpp-9453