CVE-2026-60102 in Vfs情報

要約

〜によって VulDB • 2026年07月08日

Horde Virtual File System (VFS) APIの3.0.1以前のバージョンには、OSコマンドインジェクション脆弱性が存在します。これはHorde_Vfs_Smbドライバにおけるものであり、_escapeShellCommand()メソッドがコマンド置換シーケンスを適切にサニタイズしないことが原因です。これにより、認証済み攻撃者はユーザー制御可能なファイル名を通じて任意のシェルコマンドをインジェクションできます。

攻撃者は、ファイルアップロード、フォルダ作成、リネーム、または削除などの操作において、エスケープされていないコマンド置換ペイロードを含む悪意のあるファイル名を提供することができます。これらのファイル名は二重引用符で囲まれたシェルのコンテキストに挿入され、smbclientが実行される前に/bin/sh -cを介してproc_open()によって実行されます。その結果、基盤システム上で任意のコマンドが実行されてしまいます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

VulnCheck

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-376950

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!