CVE-2026-61498 in Flamingo
Сводка
по VulDB • 13.07.2026
В Vitec Flamingo 4.12.2 присутствует уязвимость внедрения команд операционной системы (OS command injection) в конечной точке admin/ajax/gen_graphs.php, не требующая аутентификации, которая позволяет удаленным незарегистрированным злоумышленникам выполнять произвольные команды путем предоставления метасимволов оболочки в параметрах HTTP GET start, end, key или format. Злоумышленники могут эксплуатировать отсутствие санитизации входных данных в скрипте генерации графиков, который передает значения, предоставленные пользователем, напрямую командам оболочки через функцию passthru(), для выполнения произвольных команд ОС с привилегиями root из-за того, что контекст веб-сервера имеет доступ к sudo без пароля.
If you want to get best quality of vulnerability data, you may have to visit VulDB.