jfs-jfs/CVE-2026-37072

# CVE-2026-37072 Veno File Manager Project Veno File Manager Project 4.4.9 的 admin-head-updates.php 存在访问控制不当漏洞。 未经身份验证的攻击者可以利用 `lang` GET 参数中的本地文件包含漏洞。通过发送一个特制的 POST 请求，并在 `lang` url 参数中使用正确的文件包含，攻击者可以破坏配置文件。随后，通过向 setup endpoint 发送 GET 请求，可以强制配置文件进行部分重新生成，并将超级管理员密码重置为默认值，从而获得完全的管理员权限。此过程不需要任何用户交互。 https://github.com/user-attachments/assets/8fb29ee8-57a6-42ba-bf49-68f6a883b0f6

标签：OpenVAS, PHP, 文件管理系统, 本地文件包含漏洞, 权限控制缺陷