CVE-2026-60102 in Vfsinformación

Resumen

por VulDB • 2026-07-08

La API de Horde Virtual File System (VFS) anterior a la versión 3.0.1 contiene una vulnerabilidad de inyección de comandos del sistema operativo en el controlador Horde_Vfs_Smb, donde el método _escapeShellCommand() no sanitiza las secuencias de sustitución de comandos, lo que permite a los atacantes autenticados inyectar comandos arbitrarios del shell mediante nombres de archivo controlados por el usuario. Los atacantes pueden proporcionar nombres de archivo maliciosos que contengan cargas útiles de sustitución de comandos sin escapar a través de operaciones como la carga de archivos, creación de carpetas, renombrado o eliminación, las cuales se interpolan en un contexto del shell entre comillas dobles y se ejecutan mediante proc_open() a través de /bin/sh -c antes de que se ejecute smbclient, lo que resulta en la ejecución arbitraria de comandos en el sistema subyacente.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Reservar

2026-07-08

Divulgación

2026-07-08

Moderación

aceptado

Artículo

VDB-376950

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!