Katalog CVE

CVE-2026-9772

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.11%

Percentyl 62 — wyżej niż 62% wszystkich znanych CVE

Streszczenie

Podatność w serwerze WWW Unraid umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie polecenia w pliku FileUpload.php. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym. Wymagane jest uwierzytelnienie, a atakujący może wykonać kod w kontekście użytkownika www-data.

Ocena ryzyka

Organizacja narażona jest na przejęcie kontroli nad serwerem Unraid przez uwierzytelnionego atakującego, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub dalszych ataków w sieci.

Rekomendacja

Należy natychmiast zaktualizować Unraid do najnowszej wersji łatającej tę lukę. Do czasu aktualizacji ograniczyć dostęp do panelu administracyjnego tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

Unraid Web Server FileUpload Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Unraid. Authentication is required to exploit this vulnerability. The specific flaw exists within FileUpload.php. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of the www-data user. Was ZDI-CAN-30116.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS