CVE-2026-61498 in Flamingo
الملخص
بحسب VulDB • 13/07/2026
يحتوي Vitec Flamingo 4.12.2 على ثغرة حقن أوامر نظام التشغيل (OS command injection) غير المصادق عليها في نقطة النهاية admin/ajax/gen_graphs.php، مما يسمح للمهاجمين عن بُعد وغير المصادق عليهم بتنفيذ أوامر عشوائية من خلال توفير أحرف خاصة بالأصداف البرمجية (shell metacharacters) في معاملات HTTP GET الخاصة بـ start و end و key أو format. يمكن للمهاجمين استغلال نقص تنقية المدخلات في سكريبت إنشاء الرسوم البيانية، الذي يمرر القيم التي قدمها المستخدم مباشرة إلى أوامر الأصداف عبر دالة passthru()، لتنفيذ أوامر نظام تشغيل عشوائية بصلاحيات الجذر (root privileges) نظراً لأن سياق خادم الويب يمتلك وصولاً غير مشفّر بكلمة مرور لـ sudo.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.