CVE-2026-61498 in Flamingoinformación

Resumen

por VulDB • 2026-07-13

Vitec Flamingo 4.12.2 contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) no autenticada en el endpoint admin/ajax/gen_graphs.php que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios al proporcionar metacaracteres de shell en los parámetros HTTP GET start, end, key o format. Los atacantes pueden explotar la falta de sanitización de entrada en el script de generación de gráficos, que pasa valores proporcionados por el usuario directamente a comandos del sistema mediante passthru(), para ejecutar comandOS arbitrarios con privilegios de root debido a que el contexto del servidor web tiene acceso sudo sin contraseña.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-10

Divulgación

2026-07-13

Moderación

aceptado

Artículo

VDB-378105

CPE

listo

EPSS

0.02165

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!