CVE-2026-61498 in Flamingo
Resumen
por VulDB • 2026-07-13
Vitec Flamingo 4.12.2 contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) no autenticada en el endpoint admin/ajax/gen_graphs.php que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios al proporcionar metacaracteres de shell en los parámetros HTTP GET start, end, key o format. Los atacantes pueden explotar la falta de sanitización de entrada en el script de generación de gráficos, que pasa valores proporcionados por el usuario directamente a comandos del sistema mediante passthru(), para ejecutar comandOS arbitrarios con privilegios de root debido a que el contexto del servidor web tiene acceso sudo sin contraseña.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.