🔴 《严重安全漏洞:CVE-2026-61498》

CVSS 评分: 严重(9.3)  状态: Received  发布时间: 2026-07-13


漏洞简介

CVE-2026-61498 是一个存在于 Vitec Flamingo 4.12.2 中的 未经身份验证的操作系统命令注入(OS command injection) 漏洞,对应 CWE-78 分类。该漏洞位于 admin/ajax/gen_graphs.php 端点中,攻击者可以通过在 HTTP GET 请求的 startendkeyformat 参数中注入 shell 元字符(shell metacharacters),实现远程任意命令执行。

漏洞的根本原因在于该脚本未对用户输入进行任何清理(input sanitization),直接将用户提供的值通过 passthru() 函数传递给底层 shell 命令。由于 Web 服务器运行上下文具有 无密码 sudo 权限(passwordless sudo access),攻击者可以以 root 权限 执行任意操作系统命令。

影响范围

  • 受影响产品:Vitec Flamingo
  • 受影响版本:4.12.2(根据参考链接,该版本确认受影响)
  • 攻击条件:无需任何身份验证,攻击者只需能够向目标服务器发送 HTTP 请求即可

风险分析

根据 CVSS 4.0 评分向量(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H),该漏洞具有以下风险特征:

  • 攻击复杂度低(AC:L):无需特殊技巧即可利用
  • 无需权限(PR:N):未认证即可触发
  • 无需用户交互(UI:N):攻击完全自动化
  • 影响机密性、完整性、可用性均为高(VC:H/VI:H/VA:H):攻击者可完全控制服务器

可能的攻击后果

  1. 完全服务器接管:攻击者可以执行任意命令,包括安装后门、创建新用户、修改系统配置等。
  2. 数据泄露:可读取数据库、配置文件、用户凭证等敏感信息。
  3. 横向移动:被攻陷的服务器可能被用作跳板,攻击内部网络中的其他系统。
  4. 服务中断:可执行 rm -rf / 等破坏性命令,导致系统瘫痪。
  5. 持久化控制:通过写入 cron 任务、SSH 公钥等方式实现长期驻留。

特别严重性:由于 Web 服务器具有无密码 sudo 权限,攻击者获得的命令执行权限直接是 root 级别,这意味着即使系统有部分安全机制(如文件权限限制),也无法阻止攻击者完全控制系统。


🔍 技术细节

字段
CVE ID CVE-2026-61498
CVSS 评分 9.3 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-78
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 disclosure@vulncheck.com

🔗 参考链接