CVE-2026-60102 in Vfs
الملخص
بحسب VulDB • 08/07/2026
تحتوي واجهة برمجة تطبيقات نظام الملفات الافتراضي (VFS) في Horde قبل الإصدار 3.0.1 على ثغرة حقن أوامر النظام التشغيلي (OS Command Injection) في برنامج تشغيل `Horde_Vfs_Smb`، حيث يفشل الأسلوب `_escapeShellCommand()` في تنقية تسلسلات استبدال الأوامر، مما يسمح للمهاجمين المصادق عليهم بحقن أوامر قشرة عشوائية من خلال أسماء ملفات يتحكم فيها المستخدم. يمكن للمهاجمين تزويد أسماء ملفات خبيثة تحتوي على حمولات استبدال أوامر غير مُهْرَبَة (unescaped) عبر عمليات مثل رفع الملفات، وإنشاء المجلدات، وإعادة التسمية، أو الحذف، والتي يتم دمجها في سياق قشرة مزدوجة الاقتباس وتنفيذها بواسطة `proc_open()` من خلال `/bin/sh -c` قبل تشغيل `smbclient`، مما يؤدي إلى تنفيذ أوامر عشوائية على النظام الأساسي.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.