CVE-2026-60102 in Vfsinformazioni

Riassunto

di VulDB • 08/07/2026

L'API Horde Virtual File System (VFS) precedente alla versione 3.0.1 presenta una vulnerabilità di OS command injection nel driver Horde_Vfs_Smb, dove il metodo _escapeShellCommand() non riesce a sanificare le sequenze di sostituzione dei comandi, consentendo agli utenti autenticati di iniettare comandi shell arbitrari tramite nomi di file controllati dall'utente. Gli attaccanti possono fornire nomi di file dannosi contenenti payload di sostituzione di comandi non sfuggiti attraverso operazioni quali caricamento di file, creazione di cartelle, ridenominazione o eliminazione; tali input vengono interpolati in un contesto shell tra doppi apici ed eseguiti tramite proc_open() con /bin/sh -c prima dell'esecuzione di smbclient, risultando nell'esecuzione arbitraria di comandi sul sistema sottostante.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

08/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!