CVE-2026-28270
Kiteworks Core has an Unrestricted Upload of File with Dangerous Type
En resumen
Kiteworks permite que administradores carguen archivos sin validar su tipo ni seguridad, permitiendo agregar archivos peligrosos a la red. Esto importa porque podría permitir a atacantes almacenar contenido malicioso en el sistema.
Detalle técnico
Vulnerabilidad CWE-434 en Kiteworks anterior a v9.2.0 permite cargas de archivo sin restricciones debido a validación insuficiente de tipo en puntos finales accesibles por administrador. Un administrador autenticado y malicioso puede cargar tipos de archivo arbitrarios, habilitando potencialmente ejecución de código o exfiltración de datos según el procesamiento de archivos cargados. Corregido en versión 9.2.0.
Resumen generado y traducido por IA a partir de la descripción oficial.
Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks configuration allows uploading of arbitrary files without proper validation. Malicious administrators could exploit this to upload unauthorized file types to the system. Version 9.2.0 contains a patch for the issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Productos afectados
kiteworks · security-advisories¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →