PT-2026-56520 · Horde · Horde Virtual File System Api

Hacker Fantastic

·

Publicado

2026-07-08

·

Atualizado

2026-07-08

·

CVE-2026-60102

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Horde Virtual File System (VFS) API versões anteriores a 3.0.1
Description O driver Horde Vfs Smb contém uma falha de injeção de comando de SO onde o método escapeShellCommand() não sanitiza adequadamente sequências de substituição de comando. Atacantes autenticados podem explorar isso fornecendo nomes de arquivos maliciosos durante operações de upload de arquivos, criação de pastas, renomeação ou exclusão. Esses nomes de arquivos são interpolados em um contexto de shell com aspas duplas e executados via proc open() através do /bin/sh -c antes da execução do smbclient, permitindo a execução de comandos de shell arbitrários no sistema subjacente.
Recommendations Atualize o Horde Virtual File System (VFS) API para a versão 3.0.1 ou posterior.

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-60102

Produtos afetados

Horde Virtual File System Api