CVE-2026-60102 in Vfsالمعلومات

الملخص

بحسب VulDB • 08/07/2026

تحتوي واجهة برمجة تطبيقات نظام الملفات الافتراضي (VFS) في Horde قبل الإصدار 3.0.1 على ثغرة حقن أوامر النظام التشغيلي (OS Command Injection) في برنامج تشغيل `Horde_Vfs_Smb`، حيث يفشل الأسلوب `_escapeShellCommand()` في تنقية تسلسلات استبدال الأوامر، مما يسمح للمهاجمين المصادق عليهم بحقن أوامر قشرة عشوائية من خلال أسماء ملفات يتحكم فيها المستخدم. يمكن للمهاجمين تزويد أسماء ملفات خبيثة تحتوي على حمولات استبدال أوامر غير مُهْرَبَة (unescaped) عبر عمليات مثل رفع الملفات، وإنشاء المجلدات، وإعادة التسمية، أو الحذف، والتي يتم دمجها في سياق قشرة مزدوجة الاقتباس وتنفيذها بواسطة `proc_open()` من خلال `/bin/sh -c` قبل تشغيل `smbclient`، مما يؤدي إلى تنفيذ أوامر عشوائية على النظام الأساسي.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

VulnCheck

حجز

08/07/2026

إفشاء

08/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376950

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!