CVE-2026-61498 in Flamingo情報

要約

〜によって VulDB • 2026年07月14日

Vitec Flamingo 4.12.2には、admin/ajax/gen_graphs.phpエンドポイントにおいて認証不要のOSコマンドインジェクション脆弱性が存在し、攻撃者はstart、end、key、またはformatのHTTP GETパラメータにシェルメタ文字を指定することで、リモートから認証なしで任意のコマンドを実行できます。攻撃者は、グラフ生成スクリプトにおける入力サニタイズの欠如を悪用し、ユーザー入力がpassthru()経由で直接シェルスレッドコマンドに渡されることを利用して、Webサーバーのコンテキストがパスワード不要のsudoアクセス権限を持っているため、root特権で任意のOSコマンドを実行できます。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

VulnCheck

予約する

2026年07月10日

モデレーション

承諾済み

エントリ

VDB-378105

EPSS

0.02165

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!