🔴 严重 | CVE-2026-61498 — Vitec Flamingo 4.12.2 contains an unauthenticated ...
🔴 《严重安全漏洞:CVE-2026-61498》
CVSS 评分: 严重(9.3) 状态: Received 发布时间: 2026-07-13
漏洞简介
CVE-2026-61498 是一个存在于 Vitec Flamingo 4.12.2 中的 未经身份验证的操作系统命令注入(OS command injection) 漏洞,对应 CWE-78 分类。该漏洞位于 admin/ajax/gen_graphs.php 端点中,攻击者可以通过在 HTTP GET 请求的 start、end、key 或 format 参数中注入 shell 元字符(shell metacharacters),实现远程任意命令执行。
漏洞的根本原因在于该脚本未对用户输入进行任何清理(input sanitization),直接将用户提供的值通过 passthru() 函数传递给底层 shell 命令。由于 Web 服务器运行上下文具有 无密码 sudo 权限(passwordless sudo access),攻击者可以以 root 权限 执行任意操作系统命令。
影响范围
- 受影响产品:Vitec Flamingo
- 受影响版本:4.12.2(根据参考链接,该版本确认受影响)
- 攻击条件:无需任何身份验证,攻击者只需能够向目标服务器发送 HTTP 请求即可
风险分析
根据 CVSS 4.0 评分向量(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H),该漏洞具有以下风险特征:
- 攻击复杂度低(AC:L):无需特殊技巧即可利用
- 无需权限(PR:N):未认证即可触发
- 无需用户交互(UI:N):攻击完全自动化
- 影响机密性、完整性、可用性均为高(VC:H/VI:H/VA:H):攻击者可完全控制服务器
可能的攻击后果:
- 完全服务器接管:攻击者可以执行任意命令,包括安装后门、创建新用户、修改系统配置等。
- 数据泄露:可读取数据库、配置文件、用户凭证等敏感信息。
- 横向移动:被攻陷的服务器可能被用作跳板,攻击内部网络中的其他系统。
- 服务中断:可执行
rm -rf /等破坏性命令,导致系统瘫痪。 - 持久化控制:通过写入 cron 任务、SSH 公钥等方式实现长期驻留。
特别严重性:由于 Web 服务器具有无密码 sudo 权限,攻击者获得的命令执行权限直接是 root 级别,这意味着即使系统有部分安全机制(如文件权限限制),也无法阻止攻击者完全控制系统。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-61498 |
| CVSS 评分 | 9.3 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-78 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | disclosure@vulncheck.com |
🔗 参考链接
💬 评论