CVE-2026-61498 in Flamingoinformazioni

Riassunto

di VulDB • 13/07/2026

Vitec Flamingo 4.12.2 contiene una vulnerabilità di OS command injection non autenticata nell'endpoint admin/ajax/gen_graphs.php che consente ad attaccanti remoti non autenticati di eseguire comandi arbitrari fornendo metacaratteri shell nei parametri HTTP GET start, end, key o format. Gli attaccanti possono sfruttare la mancanza di sanitizzazione dell'input nello script di generazione dei grafici, il quale passa i valori forniti dall'utente direttamente ai comandi shell tramite passthru(), per eseguire comandi OS arbitrari con privilegi di root a causa del contesto del server web che dispone di accesso sudo senza password.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

VulnCheck

Prenotare

10/07/2026

Divulgazione

13/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

medio

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!