CVE-2026-8666
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji traceroute wtyczki Rapid7 InsightConnect Traceroute dla systemu Linux. Atakujący zdalnie może wykonać dowolne polecenia systemowe poprzez parametry żądania host, port, max_ttl, count lub time_out z powodu niewystarczającej walidacji danych wejściowych podczas konstruowania poleceń powłoki.
Ocena ryzyka
Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad serwerem Linux, na którym uruchomiona jest podatna wtyczka, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ataku na infrastrukturę.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Rapid7 InsightConnect Traceroute do najnowszej wersji zawierającej poprawkę oraz wdrożenie ścisłej walidacji danych wejściowych dla wszystkich parametrów żądania.
Oryginalny opis (angielski, źródło NVD)
OS Command Injection vulnerability in the traceroute action of Rapid7 InsightConnect Traceroute Plugin on Linux allows remote attackers to execute arbitrary OS commands via the host, port, max_ttl, count, or time_out request parameters due to insufficient input validation when constructing shell commands.

