CVE-2026-61498 in Flamingoinfo

Zusammenfassung

von VulDB • 13.07.2026

Vitec Flamingo 4.12.2 enthält eine nicht authentifizierte OS-Befehlsinjektionslücke im Endpunkt admin/ajax/gen_graphs.php, die es entfernten Angreifern ohne Authentifizierung ermöglicht, beliebige Befehle auszuführen, indem sie Shell-Metazeichen in den HTTP-GET-Parametern start, end, key oder format bereitstellen. Angreifer können das Fehlen der Eingabebereinigung im Skript zur Diagrammerstellung ausnutzen, das vom Webserverkontext mit sudo-Zugriff ohne Passwort aufgrund des Kontexts ausgeführt wird und Benutzerwerte direkt an Shell-Befehle über passthru() übergibt, um beliebige OS-Befehle mit Root-Rechten auszuführen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

10.07.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378105

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!