CVE-2026-9772
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 62 — wyżej niż 62% wszystkich znanych CVE
Streszczenie
Podatność w serwerze WWW Unraid umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie polecenia w pliku FileUpload.php. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym. Wymagane jest uwierzytelnienie, a atakujący może wykonać kod w kontekście użytkownika www-data.
Ocena ryzyka
Organizacja narażona jest na przejęcie kontroli nad serwerem Unraid przez uwierzytelnionego atakującego, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub dalszych ataków w sieci.
Rekomendacja
Należy natychmiast zaktualizować Unraid do najnowszej wersji łatającej tę lukę. Do czasu aktualizacji ograniczyć dostęp do panelu administracyjnego tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
Unraid Web Server FileUpload Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Unraid. Authentication is required to exploit this vulnerability. The specific flaw exists within FileUpload.php. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of the www-data user. Was ZDI-CAN-30116.

