CVE-2026-61498 in Flamingoinformação

Sumário

de VulDB • 14/07/2026

O Vitec Flamingo 4.12.2 contém uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) não autenticada no endpoint admin/ajax/gen_graphs.php, que permite a atacantes remotos e não autenticados executar comandos arbitrários ao fornecer metacaracteres do shell nos parâmetros HTTP GET start, end, key ou format. Os atacantes podem explorar a falta de sanitização de entrada no script de geração de gráficos, o qual passa valores fornecidos pelo usuário diretamente para comandos do shell por meio da função passthru(), executando comandOS arbitrários com privilégios root devido ao contexto do servidor web ter acesso sudo sem senha.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

VulnCheck

Reservar

10/07/2026

Divulgação

13/07/2026

Moderação

aceite

Entrada

VDB-378105

CPE

pronto

EPSS

0.02165

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!