Plateforme
php
Composant
xerte-online-toolkits
Corrigé dans
3.14.1
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans Xerte Online Toolkits, affectant les versions de 0 à 3.14. Cette faille permet à des attaquants non authentifiés d'exécuter du code arbitraire en téléchargeant des archives ZIP spécialement conçues. L'exploitation réussie de cette vulnérabilité peut conduire à la prise de contrôle complète du serveur. Une mise à jour vers une version corrigée est disponible.
Cette vulnérabilité est particulièrement critique en raison de sa facilité d'exploitation et de son impact potentiel. Un attaquant peut contourner les contrôles d'authentification dans le fichier import.php pour télécharger une archive de modèle contenant du code PHP malveillant dans le répertoire des médias. Ce code PHP est ensuite extrait vers un chemin accessible via le serveur web, permettant à l'attaquant de l'exécuter directement. Cela peut permettre à un attaquant de compromettre l'ensemble du système, d'accéder à des données sensibles, de modifier le contenu du site web, ou même d'utiliser le serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. La nature non authentifiée de l'exploitation rend cette vulnérabilité particulièrement dangereuse, car elle peut être exploitée sans nécessiter d'informations d'identification.
Cette vulnérabilité a été publiée le 20 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation et la criticité de la vulnérabilité suggèrent qu'elle pourrait devenir une cible privilégiée pour les attaquants. Il n'est pas listé sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La disponibilité d'un POC public est probable compte tenu de la nature de la vulnérabilité.
Organizations and individuals using Xerte Online Toolkits for e-learning content creation and delivery are at risk. This includes educational institutions, training providers, and businesses that rely on Xerte Online Toolkits for internal or external training programs. Shared hosting environments are particularly vulnerable, as a compromised Xerte Online Toolkits installation could potentially impact other websites hosted on the same server.
• php: Examine web server access logs for requests to import.php with unusual or suspicious ZIP archive filenames.
grep "import.php" /var/log/apache2/access.log | grep -i zip• php: Check the media directory for newly created PHP files with unexpected names or content.
find /var/www/xerte/media -name '*.php' -print• generic web: Monitor network traffic for attempts to upload ZIP archives to the Xerte Online Toolkits server. Use a WAF to detect and block suspicious upload patterns. • generic web: Review Xerte Online Toolkits configuration files for any unusual or insecure settings related to file uploads.
disclosure
Statut de l'Exploit
EPSS
0.77% (percentile 73%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour Xerte Online Toolkits vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de renforcer la sécurité en désactivant temporairement la fonctionnalité d'importation de modèles. Il est également recommandé de mettre en œuvre des règles de pare-feu d'application web (WAF) pour bloquer les requêtes contenant des archives ZIP malveillantes. Surveillez attentivement les journaux du serveur web pour détecter toute activité suspecte, en particulier les tentatives de téléchargement de fichiers avec des extensions PHP. Une analyse régulière des fichiers du serveur peut également aider à identifier les fichiers malveillants qui auraient pu être téléchargés.
Mettez à jour Xerte Online Toolkits vers une version ultérieure à la 3.14. Cela corrigera la vulnérabilité d'importation arbitraire de fichiers non authentifiée. Consultez le site web de Xerte pour obtenir la dernière version et les instructions de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32985 is a critical Remote Code Execution vulnerability in Xerte Online Toolkits versions 0–3.14, allowing attackers to execute arbitrary code through a flawed template import process.
If you are running Xerte Online Toolkits versions 0 through 3.14, you are potentially affected by this vulnerability. Immediate action is required.
The recommended fix is to upgrade to a patched version of Xerte Online Toolkits. If immediate upgrade is not possible, implement temporary workarounds like restricting file uploads and using a WAF.
As of now, there is no confirmed evidence of active exploitation in the wild, but the vulnerability's severity and ease of exploitation suggest potential for future attacks.
Please refer to the official Xerte Online Toolkits website and security advisories for the latest information and updates regarding CVE-2026-32985.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.