PT-2026-56520 · Horde · Horde Virtual File System Api
Hacker Fantastic
·
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-60102
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Horde Virtual File System (VFS) API versões anteriores a 3.0.1
Description
O driver Horde Vfs Smb contém uma falha de injeção de comando de SO onde o método
escapeShellCommand() não sanitiza adequadamente sequências de substituição de comando. Atacantes autenticados podem explorar isso fornecendo nomes de arquivos maliciosos durante operações de upload de arquivos, criação de pastas, renomeação ou exclusão. Esses nomes de arquivos são interpolados em um contexto de shell com aspas duplas e executados via proc open() através do /bin/sh -c antes da execução do smbclient, permitindo a execução de comandos de shell arbitrários no sistema subjacente.Recommendations
Atualize o Horde Virtual File System (VFS) API para a versão 3.0.1 ou posterior.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Horde Virtual File System Api