CVE-2026-60102 in Vfs
요약
\~에 의해 VulDB • 2026. 07. 08.
Horde Virtual File System (VFS) API 3.0.1 이전 버전에는 Horde_Vfs_Smb 드라이버에서 OS 명령어 삽입 취약점이 존재합니다. _escapeShellCommand() 메서드가 명령어 치환 시퀀스를 적절히 제거하지 못해, 인증된 공격자가 사용자 제어 파일명을 통해 임의의 셸 명령어를 주입할 수 있습니다. 공격자는 파일 업로드, 폴더 생성, 이름 바꾸기 또는 삭제와 같은 작업을 통해 비escaped(비제거) 명령어 치환 페이로드를 포함한 악성 파일명을 제공하며, 이는 smbclient 실행 전 /bin/sh -c를 통한 proc_open() 호출 시 이중 따옴표가 있는 셸 컨텍스트에서 보간되어 시스템 전체에 임의의 명령어가 실행되도록 합니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.