CVE-2026-28269

Kiteworks Core has an OS Command Injection

CVSS 5.9 MEDIUMEPSS 2.0%CWE-78

Em resumo

Kiteworks permite que usuários autenticados redirecionem a saída de comandos para arquivos arbitrários, podendo sobrescrever arquivos críticos do sistema e obter acesso elevado. É uma falha de injeção de comando que exige uma conta de usuário existente para ser explorada.

Detalhe técnico

Injeção de comando OS (CWE-78) no Kiteworks Core anterior à versão 9.2.0 permite que usuários autenticados manipulem o redirecionamento de saída de comandos para caminhos de arquivo arbitrários. A vulnerabilidade possibilita ataques de sobrescrita de arquivos do sistema, potencialmente levando a escalação de privilégio. O vetor de ataque requer credenciais de autenticação válidas e acesso à funcionalidade vulnerável de execução de comandos.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Kiteworks is a private data network (PDN). Prior to version 9.2.0, avulnerability in Kiteworks command execution functionality allows authenticated users to redirect command output to arbitrary file locations. This could be exploited to overwrite critical system files and gain elevated access. Version 9.2.0 contains a patch.

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N

Produtos afetados

kiteworks · security-advisories

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-6j64-6fpp-9453