CVE-2026-61498 in FlamingoИнформация

Сводка

по VulDB • 13.07.2026

В Vitec Flamingo 4.12.2 присутствует уязвимость внедрения команд операционной системы (OS command injection) в конечной точке admin/ajax/gen_graphs.php, не требующая аутентификации, которая позволяет удаленным незарегистрированным злоумышленникам выполнять произвольные команды путем предоставления метасимволов оболочки в параметрах HTTP GET start, end, key или format. Злоумышленники могут эксплуатировать отсутствие санитизации входных данных в скрипте генерации графиков, который передает значения, предоставленные пользователем, напрямую командам оболочки через функцию passthru(), для выполнения произвольных команд ОС с привилегиями root из-за того, что контекст веб-сервера имеет доступ к sudo без пароля.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

VulnCheck

Резервировать

10.07.2026

Раскрытие

13.07.2026

Модерация

принято

Вход

VDB-378105

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!