CVE-2026-60102 in Vfs
Sumário
de VulDB • 08/07/2026
A API Horde Virtual File System (VFS) anterior à versão 3.0.1 contém uma vulnerabilidade de OS command injection no driver Horde_Vfs_Smb, onde o método _escapeShellCommand() não consegue sanitizar sequências de substituição de comandos, permitindo que atacantes autenticados injetem shell commands arbitrários por meio de nomes de arquivos controlados pelo usuário. Os atacantes podem fornecer nomes de arquivos maliciosos contendo payloads de substituição de comandos sem escape através de operações como upload de arquivo, criação de pasta, renomeação ou exclusão, os quais são interpolados em um contexto de shell entre aspas duplas e executados via proc_open() por meio de /bin/sh -c antes que o smbclient seja executado, resultando na execução arbitrária de comandos no sistema subjacente.
If you want to get best quality of vulnerability data, you may have to visit VulDB.