🔴 《严重安全漏洞:CVE-2026-60121》

CVSS 评分: 严重(9.3)  状态: Received  发布时间: 2026-07-13


漏洞简介

CVE-2026-60121 是一个存在于 Vitec Flamingo 4.12.2 中的 未经认证的操作系统命令注入(unauthenticated OS command injection) 漏洞,对应 CWE-78(OS 命令注入)。该漏洞位于 admin/ajax/ping.php 端点中。

漏洞的根本原因在于 shell 参数处理中的双重求值缺陷(double-evaluation flaw)。具体来说,该端点首先对用户通过 POST 请求提交的 host 参数使用 escapeshellarg() 函数进行转义处理,然后将转义后的值传递给一个系统封装函数(system wrapper)。然而,这个封装函数在内部从 argv(命令行参数数组)中获取解码后的原始值,并将其直接嵌入到另一个 shell_exec() 调用中,未进行任何额外的转义或过滤。由于 escapeshellarg() 的转义效果在第一次调用中被抵消,攻击者可以通过精心构造的 payload 绕过限制,注入任意操作系统命令。

此外,由于该服务以 无密码 sudo(passwordless sudo) 权限运行,注入的命令将以 root 权限 执行,从而实现对服务器的完全控制。

影响范围

  • 受影响产品:Vitec Flamingo
  • 受影响版本:4.12.2(根据现有信息,该版本确认受影响;其他版本可能也存在类似问题,但尚未被明确披露)
  • 攻击条件:无需任何身份认证(unauthenticated),攻击者只需能够通过网络访问目标设备的 admin/ajax/ping.php 端点即可发起攻击。

风险分析

  • CVSS 评分:根据 CVSS:4.0 向量 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N,该漏洞的 基础评分极高,属于 严重(Critical) 级别。攻击复杂度低,无需权限,且能完全破坏机密性、完整性和可用性。
  • 攻击后果
    • 远程代码执行(Remote Code Execution, RCE):攻击者可以在目标服务器上以 root 权限执行任意系统命令。
    • 完全控制服务器:包括但不限于:安装恶意软件、窃取敏感数据(如用户数据库、配置文件)、修改系统配置、创建后门账号、发起横向移动攻击等。
    • 服务中断:攻击者可以终止关键进程或破坏系统文件,导致 IPTV 分发服务不可用。
    • 网络渗透跳板:被攻陷的 Vitec Flamingo 设备可能被用作跳板,攻击内部网络中的其他系统。
  • 利用难度:极低。漏洞存在于一个无需认证的 Web 端点,且利用方式简单(通过 POST 参数注入命令),已有公开的 PoC 或分析文章(如 VulnCheck 的公告),因此 实际被大规模利用的风险很高

总结:该漏洞是一个典型的、高风险的未授权命令注入漏洞,结合 root 权限执行,可导致目标系统完全沦陷。建议所有使用 Vitec Flamingo 4.12.2 的用户立即联系厂商获取补丁或采取临时缓解措施(如限制对 admin/ajax/ping.php 的访问、部署 Web 应用防火墙规则等)。


🔍 技术细节

字段
CVE ID CVE-2026-60121
CVSS 评分 9.3 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-78
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 disclosure@vulncheck.com

🔗 参考链接