CVE-2026-28270
Kiteworks Core has an Unrestricted Upload of File with Dangerous Type
Em resumo
O Kiteworks permite que administradores façam upload de arquivos sem validar seu tipo ou segurança, possibilitando adicionar arquivos perigosos à rede. Isso é importante porque pode permitir que atacantes armazenem conteúdo malicioso no sistema.
Detalhe técnico
Vulnerabilidade CWE-434 no Kiteworks anterior à v9.2.0 permite uploads de arquivo irrestrito devido à validação insuficiente de tipo em endpoints acessíveis por administrador. Um admin autenticado e malicioso pode fazer upload de tipos arbitrários de arquivo, potencialmente habilitando execução de código ou exfiltração de dados conforme o processamento dos arquivos. Corrigido na versão 9.2.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks configuration allows uploading of arbitrary files without proper validation. Malicious administrators could exploit this to upload unauthorized file types to the system. Version 9.2.0 contains a patch for the issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
kiteworks · security-advisoriesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →