Katalog CVE

CVE-2026-9773

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.13%

Percentyl 62 — wyżej niż 62% wszystkich znanych CVE

Streszczenie

Podatność umożliwia zdalne wykonanie kodu w systemie Unraid poprzez wstrzyknięcie poleceń do skryptu ToggleState.php. Atak wymaga uwierzytelnienia, a loka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym.

Ocena ryzyka

Atakujący może przejąć kontrolę nad serwerem Unraid w kontekście użytkownika www-data, co może prowadzić do naruszenia poufności, integralności i dostępności danych oraz usług.

Rekomendacja

Należy niezwłocznie zastosować aktualizację dostarczoną przez producenta Unraid, która usuwa podatność w skrypcie ToggleState.php.

Oryginalny opis (angielski, źródło NVD)

Unraid Web Server ToggleState Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Unraid. Authentication is required to exploit this vulnerability. The specific flaw exists within ToggleState.php. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of the www-data user. Was ZDI-CAN-30134.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS