CVE-2026-61498 in Flamingo
요약
\~에 의해 VulDB • 2026. 07. 14.
Vitec Flamingo 4.12.2에는 admin/ajax/gen_graphs.php 엔드포인트에서 인증되지 않은 상태의 공격자가 start, end, key 또는 format HTTP GET 파라미터에 셸 메타문자를 제공하여 임의 명령을 실행할 수 있는 OS 명령 삽입(OS Command Injection) 취약점이 존재합니다. 공격자는 웹 서버 컨텍스트가 비밀번호 없이 sudo 접근 권한을 가지고 있어 루트 권한으로 임의 OS 명령이 실행될 수 있다는 점을 이용하여, 사용자 입력값을 passthru()를 통해 셸 명령에 직접 전달하는 그래프 생성 스크립트의 입력 검증 부재(input sanitization lack)를 악용할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.