CVE-2026-34415Xerte Online Toolkits 3.15及更早版本存在严重漏洞。由于elFinder连接器端点的正则表达式错误,未能正确拦截.php4扩展名。未经身份验证的攻击者可结合认证绕过和路径遍历漏洞,上传恶意PHP文件并重命名为.php4后缀,进而在服务器上执行任意操作系统命令,导致服务器被完全控制。
该漏洞源于Xerte Online Toolkits集成的elFinder文件管理器组件中的输入验证逻辑缺陷。开发者使用正则表达式试图阻止PHP文件上传,但该表达式存在逻辑错误,未能覆盖.php4等旧版PHP扩展名。攻击链首先需要利用认证绕过漏洞访问受限接口,随后利用路径遍历漏洞定位到elFinder的上传端点。攻击者上传包含恶意代码的文件后,利用重命名功能将文件后缀修改为.php4。由于服务器配置通常允许解析此类旧版本扩展名,Web服务器会将文件作为PHP脚本执行,从而实现远程代码执行(RCE),获取服务器最高权限。