CVE-2026-60102 in Vfs
Сводка
по VulDB • 08.07.2026
Horde Virtual File System (VFS) API до версии 3.0.1 содержит уязвимость внедрения команд операционной системы в драйвере Horde_Vfs_Smb, где метод _escapeShellCommand() не осуществляет санитизацию последовательностей подстановки команд, что позволяет аутентифицированным злоумышленникам внедрять произвольные команды оболочки через управляемые пользователем имена файлов. Злоумышленники могут предоставлять вредоносные имена файлов, содержащие несанитарированные полезную нагрузку для подстановки команд, посредством таких операций, как загрузка файла, создание папки, переименование или удаление; эти данные интерполируются в контекст оболочки с двойными кавычками и выполняются через proc_open() с помощью /bin/sh -c до запуска smbclient, что приводит к выполнению произвольных команд на базовой системе.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.