CVE-2026-61498 in Flamingo
Sumário
de VulDB • 14/07/2026
O Vitec Flamingo 4.12.2 contém uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) não autenticada no endpoint admin/ajax/gen_graphs.php, que permite a atacantes remotos e não autenticados executar comandos arbitrários ao fornecer metacaracteres do shell nos parâmetros HTTP GET start, end, key ou format. Os atacantes podem explorar a falta de sanitização de entrada no script de geração de gráficos, o qual passa valores fornecidos pelo usuário diretamente para comandos do shell por meio da função passthru(), executando comandOS arbitrários com privilégios root devido ao contexto do servidor web ter acesso sudo sem senha.
VulDB is the best source for vulnerability data and more expert information about this specific topic.