मुफ्त स्कैन करें
MEDIUMCVE-2026-23946CVSS 6.8

Tendenci प्रभावित है प्रमाणित रिमोट कोड एग्जीक्यूशन (Remote Code Execution) द्वारा Pickle डीसीरियलाइजेशन के माध्यम से

प्लेटफ़ॉर्म

python

घटक

tendenci

में ठीक किया गया

15.3.13

15.3.12

AI Confidence: highNVDEPSS 0.4%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-23946 describes a critical Remote Code Execution (RCE) vulnerability found in the Tendenci Helpdesk module. This flaw allows an authenticated user with staff security level to execute arbitrary code by exploiting the /reports/ endpoint. The vulnerability impacts Tendenci versions 7.5.2 and earlier, stemming from the continued use of Python's pickle module for deserialization, a problem initially identified in CVE-2020-14942. A patch is available in version 15.3.12.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

Successful exploitation of CVE-2026-23946 grants an attacker the ability to execute arbitrary code on the server running the Tendenci application. This could lead to complete system compromise, data exfiltration, and potential disruption of services. The scope of the attack is limited to the user account under which the Tendenci application runs, but this account often has significant privileges within the web hosting environment. The vulnerability's reliance on the pickle deserialization mechanism mirrors the risks associated with similar vulnerabilities like CVE-2020-14942, where malicious pickle files can be crafted to execute arbitrary commands. Given the module is not enabled by default, the immediate blast radius is reduced, but organizations that have enabled the Helpdesk module are at significant risk.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2026-23946 was publicly disclosed on 2026-01-21. The vulnerability builds upon a previously identified issue (CVE-2020-14942) that was not fully addressed. Public proof-of-concept exploits are likely to emerge given the vulnerability's nature and the availability of tools for crafting malicious pickle files. The EPSS score is likely to be assessed as Medium, reflecting the potential for RCE and the relatively straightforward exploitation process. Check CISA KEV for updates.

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using Tendenci for website content management and specifically those who have enabled the Helpdesk module are at risk. Shared hosting environments where multiple Tendenci instances are running under a single user account are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Legacy Tendenci installations that have not been regularly updated are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• linux / server: Monitor Tendenci application logs for requests to /reports/ containing unusual or malformed data. Use journalctl -f -u tendenci to observe real-time log activity.

 grep -i 'pickle' /var/log/tendenci/application.log

• python: If you have access to the Tendenci application code, review the run_report() function for the use of pickle.load() and ensure that input is properly validated before deserialization. • generic web: Use curl to test the /reports/ endpoint with a benign payload and then with a known malicious pickle payload (in a controlled environment) to verify the vulnerability's presence.

curl -X POST -d '...' /reports/

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.36% (58% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H6.8MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकtendenci
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 15.3.12 – < 15.3.1215.3.13
15.3.12

कमजोरी वर्गीकरण (CWE)

CWE-502CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -2 दिन बाद पैच

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-23946 is to upgrade Tendenci to version 15.3.12 or later, which includes the necessary fix. If an immediate upgrade is not possible, consider temporarily disabling the Helpdesk module to reduce the attack surface. As a short-term workaround, implement strict input validation on the /reports/ endpoint to prevent the processing of potentially malicious data. Web Application Firewalls (WAFs) can be configured to block requests containing suspicious pickle data. Monitor Tendenci application logs for unusual activity, particularly related to the /reports/ endpoint. After upgrading, confirm the vulnerability is resolved by attempting to trigger the report generation process with a known malicious pickle payload (in a controlled environment).

कैसे ठीक करें

Tendenci CMS को संस्करण 15.3.12 या उच्चतर में अपडेट करें। यह संस्करण हेल्पडेस्क मॉड्यूल में असुरक्षित डीसीरियलाइजेशन भेद्यता को ठीक करता है। अपडेट से प्रमाणित उपयोगकर्ताओं द्वारा रिमोट कोड एग्जीक्यूशन को रोका जा सकेगा जिनके पास स्टाफ विशेषाधिकार हैं।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-23946 — RCE in Tendenci Helpdesk Module?

CVE-2026-23946 is a Remote Code Execution vulnerability in the Tendenci Helpdesk module, allowing authenticated staff users to execute code via the /reports/ endpoint due to insecure pickle deserialization.

Am I affected by CVE-2026-23946 in Tendenci Helpdesk Module?

You are affected if you are using Tendenci versions 7.5.2 or earlier and have the Helpdesk module enabled. Even if the module is not enabled, review the code for potential vulnerabilities.

How do I fix CVE-2026-23946 in Tendenci Helpdesk Module?

Upgrade Tendenci to version 15.3.12 or later. If immediate upgrade is not possible, disable the Helpdesk module or implement strict input validation.

Is CVE-2026-23946 being actively exploited?

While active exploitation is not confirmed, the vulnerability's nature and the availability of pickle exploitation techniques suggest it is likely to be targeted.

Where can I find the official Tendenci advisory for CVE-2026-23946?

Refer to the official Tendenci security advisory on their website or through their security mailing list.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें