Zurück zur Liste

Pheditor: OS Command Injection in terminal handler via unsanitized 'dir' parameter — CVE-2026-48030

GitHub · GitHub · CVE-2026-48030

ID
CVE-2026-48030

Datum
2026-06-10

Activity
2026-06-10

Quelle
GitHub

Vendor
GitHub

Risiko
critical

CVSS
9.9

Zusammenfassung

### Summary An OS Command Injection vulnerability in the terminal action handler allows any authenticated user to execute arbitrary OS commands by injecting shell metacharacters into the 'dir' POST parameter, completely bypassing the TERMINAL_COMMANDS whitelist and achieving full Remote Code Execution with web server privileges. ### Details The terminal handler in pheditor.php accepts two POST parameters: `command`…

Produkt

composer: pheditor/pheditor

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W24

Cisco Catalyst SD-WAN Manager Authenticated Privilege Escalation Vulnerability

2026-06-09 CISCO-SA-SDWAN-PRIVESC-4UXFRDZX

mediumCisco Cisco 2026-W24

Dex: Token-exchange endpoint is missing AllowedConnectors enforcement

2026-06-09 GHSA-7QJX-GP9H-65QJ

highGitHub GitHub 2026-W24

ethyca-fides has a DOM-based XSS vulnerability in fides.js via fides_description override

2026-06-09 CVE-2026-44541

highGitHub GitHub 2026-W24

Gogs: Schwachstelle ermöglicht Codeausführung

2026-06-09 WID-SEC-2026-1739

criticalBSI 2026-W24

Gogs: Schwachstelle ermöglicht Denial of Service

2026-06-09 WID-SEC-2026-1779

highBSI 2026-W24

Malicious code in guardrails-ai 0.10.1 (supply chain compromise)

2026-06-09 CVE-2026-45758

criticalGitHub GitHub 2026-W24