Katalog CVE

CVE-2026-8666

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 42 — wyżej niż 42% wszystkich znanych CVE

Streszczenie

Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji traceroute wtyczki Rapid7 InsightConnect Traceroute dla systemu Linux. Atakujący zdalnie może wykonać dowolne polecenia systemowe poprzez parametry żądania host, port, max_ttl, count lub time_out z powodu niewystarczającej walidacji danych wejściowych podczas konstruowania poleceń powłoki.

Ocena ryzyka

Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad serwerem Linux, na którym uruchomiona jest podatna wtyczka, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ataku na infrastrukturę.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Rapid7 InsightConnect Traceroute do najnowszej wersji zawierającej poprawkę oraz wdrożenie ścisłej walidacji danych wejściowych dla wszystkich parametrów żądania.

Oryginalny opis (angielski, źródło NVD)

OS Command Injection vulnerability in the traceroute action of Rapid7 InsightConnect Traceroute Plugin on Linux allows remote attackers to execute arbitrary OS commands via the host, port, max_ttl, count, or time_out request parameters due to insufficient input validation when constructing shell commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS