CVE-2026-8660
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
Wtyczka Ping dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący zdalnie może wykonać dowolne polecenia poprzez parametr host z powodu niewystarczającej walidacji danych wejściowych.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego przejęcia kontroli nad serwerem, kradzieży danych lub zakłócenia działania usług. Podatność może być wykorzystana do eskalacji uprawnień i dalszego ataku na infrastrukturę.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Ping do najnowszej wersji dostępnej od producenta. Należy również zastosować mechanizmy filtrowania i sanityzacji danych wejściowych dla parametru host.
Oryginalny opis (angielski, źródło NVD)
OS Command Injection vulnerability in the ping action of Rapid7 InsightConnect Ping Plugin on Linux allows remote attackers to execute arbitrary OS commands via the host parameter due to insufficient input validation when constructing shell commands.

