CRITICAL✓ PATCH🇬🇧 English

CVE-2026-45777

RCE poprzez command injection w Open XDMoD (wersje 9.5.0–11.0.2)

CVSS 9.3v4.0pub. 2026-06-05upd. 2026-06-10

Open XDMoD, otwarty framework do zbierania i analizy metryk HPC, zawiera podatność typu command injection umożliwiającą zdalne wykonanie dowolnych poleceń systemowych bez uwierzytelnienia. Podatność jest krytyczna — atakujący może przejąć kontrolę nad serwerem webowym hostującym aplikację.

Pokaż oryginał (EN)

OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Starting in version 9.5.0 and prior to version 11.0.3, an attacker can remotely execute arbitrary system commands on the web server hosting Open XDMoD with the privileges of the web server process. This could allow an attacker to read or modify application data, alter system configuration, or disrupt service availability. All deployments of Open XDMoD versions 9.5.0 through 11.0.2 (inclusive) are impacted. This issue was reported privately on 2026-04-06, and at this time there is no evidence that this vulnerability has been exploited in the wild. The vulnerability was patched in Open XDMoD 11.0.3 on 2026-05-12. As a workaround, apply the patch manually.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-78 (OS Command Injection) pozwala nieuwierzytelnionemu atakującemu na przesłanie spreparowanego żądania do serwera webowego, które skutkuje wykonaniem dowolnych poleceń systemowych z uprawnieniami procesu serwera WWW. Błąd obecny jest w kodzie wprowadzonym od wersji 9.5.0 i nie został usunięty aż do wydania wersji 11.0.3. Atak jest możliwy zdalnie, bez interakcji użytkownika i bez wymaganych uprawnień.

Skutki

Atakujący może odczytać lub zmodyfikować dane aplikacji, zmienić konfigurację systemu operacyjnego oraz zakłócić dostępność usługi. Skuteczne wykorzystanie podatności daje praktycznie pełną kontrolę nad serwerem webowym w zakresie uprawnień jego procesu.

Mitygacja

Należy zaktualizować Open XDMoD do wersji 11.0.3 (wydanej 2026-05-12). Jako rozwiązanie tymczasowe producent udostępnił patch, który można zastosować ręcznie: https://open.xdmod.org/security_patches/GHSA-29qm-7w4v-43fw-9_5_0-11_0_2.patch

Kogo dotyczy

Open XDMoD w wersjach od 9.5.0 do 11.0.2 włącznie

Uwagi

Podatność została zgłoszona prywatnie 2026-04-06 i naprawiona w Open XDMoD 11.0.3 w dniu 2026-05-12. Według informacji producenta na dzień publikacji nie odnotowano przypadków wykorzystania podatności w praktyce.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Buffalo Open Xdmod

    APP
    Buffalo
    9.5.0 – 11.0.3 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-45779CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Open XDMoD — nieuwierzytelniony dostęp do bazy danych

CVE-2018-16988CRITICAL9.8ten sam produkt

An issue was discovered in Open XDMoD through 7.5.0. An authentication bypass (account takeover) exists due to...

CVE-2026-45778HIGH8.6ten sam produkt

OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, an authentic...

CVE-2018-16961HIGH7.5ten sam produkt

An issue was discovered in Open XDMoD through 7.5.0. html/gui/general/dl_publication.php allows Path traversal...

CVE-2026-45776MEDIUM5.3ten sam produkt

OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, a flaw in Op...

CVE-2026-45777 — RCE poprzez command injection w Open XDMoD (wersje 9.5.0–11.0.2) — CRITICAL 9.3 | CVEbaza.pl