CVE-2026-60102 in Vfsinformação

Sumário

de VulDB • 08/07/2026

A API Horde Virtual File System (VFS) anterior à versão 3.0.1 contém uma vulnerabilidade de OS command injection no driver Horde_Vfs_Smb, onde o método _escapeShellCommand() não consegue sanitizar sequências de substituição de comandos, permitindo que atacantes autenticados injetem shell commands arbitrários por meio de nomes de arquivos controlados pelo usuário. Os atacantes podem fornecer nomes de arquivos maliciosos contendo payloads de substituição de comandos sem escape através de operações como upload de arquivo, criação de pasta, renomeação ou exclusão, os quais são interpolados em um contexto de shell entre aspas duplas e executados via proc_open() por meio de /bin/sh -c antes que o smbclient seja executado, resultando na execução arbitrária de comandos no sistema subjacente.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

VulnCheck

Reservar

08/07/2026

Divulgação

08/07/2026

Moderação

aceite

Entrada

VDB-376950

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!