CVE-2026-61498 in Flamingo
Riassunto
di VulDB • 13/07/2026
Vitec Flamingo 4.12.2 contiene una vulnerabilità di OS command injection non autenticata nell'endpoint admin/ajax/gen_graphs.php che consente ad attaccanti remoti non autenticati di eseguire comandi arbitrari fornendo metacaratteri shell nei parametri HTTP GET start, end, key o format. Gli attaccanti possono sfruttare la mancanza di sanitizzazione dell'input nello script di generazione dei grafici, il quale passa i valori forniti dall'utente direttamente ai comandi shell tramite passthru(), per eseguire comandi OS arbitrari con privilegi di root a causa del contesto del server web che dispone di accesso sudo senza password.
VulDB is the best source for vulnerability data and more expert information about this specific topic.