CVE-2026-61498 in Flamingoالمعلومات

الملخص

بحسب VulDB • 13/07/2026

يحتوي Vitec Flamingo 4.12.2 على ثغرة حقن أوامر نظام التشغيل (OS command injection) غير المصادق عليها في نقطة النهاية admin/ajax/gen_graphs.php، مما يسمح للمهاجمين عن بُعد وغير المصادق عليهم بتنفيذ أوامر عشوائية من خلال توفير أحرف خاصة بالأصداف البرمجية (shell metacharacters) في معاملات HTTP GET الخاصة بـ start و end و key أو format. يمكن للمهاجمين استغلال نقص تنقية المدخلات في سكريبت إنشاء الرسوم البيانية، الذي يمرر القيم التي قدمها المستخدم مباشرة إلى أوامر الأصداف عبر دالة passthru()، لتنفيذ أوامر نظام تشغيل عشوائية بصلاحيات الجذر (root privileges) نظراً لأن سياق خادم الويب يمتلك وصولاً غير مشفّر بكلمة مرور لـ sudo.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

VulnCheck

حجز

10/07/2026

إفشاء

13/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378105

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!