CVE-2026-45744
KrytyczneCVSS 9.9Streszczenie
Termix to platforma zarządzania serwerem oparta na sieci, która przed wersją 2.3.2 była podatna na wstrzykiwanie poleceń systemowych w punkcie końcowym GET /ssh/file_manager/ssh/resolvePath. Umożliwia to uwierzytelnionym użytkownikom wykonanie dowolnych poleceń na zdalnym hoście.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ każdy uwierzytelniony użytkownik z aktywną sesją File Manager SSH może uzyskać pełną kontrolę nad zdalnym systemem.
Rekomendacja
Zaleca się aktualizację do wersji 2.3.2 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Termix is a web-based server management platform with SSH terminal, tunneling, and file editing capabilities. Prior to version 2.3.2, the GET /ssh/file_manager/ssh/resolvePath endpoint in Termix is vulnerable to OS command injection. The endpoint uses double-quote escaping for shell command construction, which does not prevent $(...) and backtick command substitution. Any authenticated user with an active File Manager SSH session can execute arbitrary commands on the connected remote host. Version 2.3.2 patches the issue.

