CVE-2026-12195
WysokieCVSS 8.5Streszczenie
myVesta zawiera podatność na zdalne wykonanie kodu po uwierzytelnieniu. Użytkownicy z niskimi uprawnieniami mogą wstrzykiwać dowolne polecenia w parametrze v_ftp_user podczas usuwania nazw użytkowników FTP.
Ocena ryzyka
Atakujący może wykonać polecenia jako użytkownik admin lub przejąć konto administratora, co prowadzi do pełnej kompromitacji systemu myVesta.
Rekomendacja
Zaktualizuj myVesta do najnowszej wersji zawierającej poprawkę. Ogranicz uprawnienia użytkowników i stosuj filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
myVesta is affected by an authenticated remote code execution vulnerability. Low privileged users can insert arbitrary commands as a part of the v_ftp_user parameter when deleting FTP usernames. This could result in the execution of commands as the admin user or takevoer of the admin user in myVesta.

