Vulnerability Details CVE-2026-32985
Xerte Online Toolkits versions 3.14 and earlier contain an unauthenticated arbitrary file upload vulnerability in the template import functionality that allows remote attackers to execute arbitrary code by uploading a crafted ZIP archive containing malicious PHP payloads. Attackers can bypass authentication checks in the import.php file to upload a template archive with PHP code in the media directory, which gets extracted to a web-accessible path where the malicious PHP can be directly accessed and executed under the web server context.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.006
EPSS Ranking 68.9%
CVSS Severity
CVSS v3 Score 9.8
Products affected by CVE-2026-32985
-
cpe:2.3:a:apereo:xerte_online_toolkits:2.0
-
cpe:2.3:a:apereo:xerte_online_toolkits:2.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.0
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.01
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.1.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.1.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.1.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.10
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.10.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.10.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.10.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.10.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.10.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.10
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.11
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.12
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.13
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.14
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.15
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.16
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.17
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.18
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.20
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.21
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.6
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.7
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.8
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.11.9
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.10
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.11
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.12
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.13
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.14
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.15
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.16
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.17
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.18
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.19
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.20
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.21
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.22
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.23
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.24
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.25
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.26
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.28
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.29
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.30
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.31
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.32
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.33
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.6
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.7
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.8
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.12.9
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.6
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.7
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.8
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.13.9
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.14.0
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.2.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.2.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.2.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.3.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.3.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.3.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.3.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.3.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.4.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.4.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.5.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.5.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.5.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.5.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.5.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.6
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.6.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.6.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.6.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.6.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.8
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.8.1
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.8.2
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.8.3
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.8.4
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.8.5
-
cpe:2.3:a:apereo:xerte_online_toolkits:3.9