Xerte Online Toolkits versions 3.15 and earlier contain a relative path traversal vulnerability in the elFinder connector endpoint at /editor/elfinder/php/connector.php where the name parameter in rename commands is not sanitized for path traversal sequences. Attackers can supply a name value containing directory traversal sequences to move files from project media directories to arbitrary locations on the filesystem, potentially overwriting application files, achieving stored cross-site scripting, or combining with other vulnerabilities to achieve unauthenticated remote code execution by moving PHP code files to the application root.
Xerte Online Toolkits versions 3.15 and earlier contain a path traversal vulnerability in the elFinder connector that allows attackers to move files to arbitrary locations on the filesystem. This can lead to file overwriting, stored XSS, or remote code execution when combined with other vulnerabilities.
تحتوي نسخ Xerte Online Toolkits 3.15 والإصدارات الأقدم على ثغرة اجتياز مسار نسبي في نقطة نهاية موصل elFinder حيث لا يتم تنظيف معامل الاسم في أوامر إعادة التسمية من تسلسلات اجتياز المسار. يمكن للمهاجمين توفير قيمة اسم تحتوي على تسلسلات اجتياز الدليل لنقل الملفات من دلائل وسائط المشروع إلى مواقع عشوائية على نظام الملفات.
Xerte Online Toolkits versions 3.15 and earlier contain a path traversal vulnerability in the elFinder connector that allows attackers to move files to arbitrary locations on the filesystem. This can lead to file overwriting, stored XSS, or remote code execution when combined with other vulnerabilities.
Upgrade Xerte Online Toolkits to version 3.16 or later immediately. If immediate patching is not possible, implement strict input validation and sanitization for the name parameter in the elFinder connector endpoint, restrict file operations to designated directories using chroot or similar mechanisms, and disable the elFinder connector if not actively used.
قم بترقية Xerte Online Toolkits إلى الإصدار 3.16 أو أحدث فوراً. إذا لم يكن الترقيع الفوري ممكناً، قم بتطبيق التحقق الصارم من صحة المدخلات وتنظيفها لمعامل الاسم في نقطة نهاية موصل elFinder، وقيد عمليات الملفات على الدلائل المخصصة باستخدام chroot أو آليات مماثلة، وعطل موصل elFinder إذا لم يكن قيد الاستخدام النشط.