CVE-2026-9773
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 62 — wyżej niż 62% wszystkich znanych CVE
Streszczenie
Podatność umożliwia zdalne wykonanie kodu w systemie Unraid poprzez wstrzyknięcie poleceń do skryptu ToggleState.php. Atak wymaga uwierzytelnienia, a loka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym.
Ocena ryzyka
Atakujący może przejąć kontrolę nad serwerem Unraid w kontekście użytkownika www-data, co może prowadzić do naruszenia poufności, integralności i dostępności danych oraz usług.
Rekomendacja
Należy niezwłocznie zastosować aktualizację dostarczoną przez producenta Unraid, która usuwa podatność w skrypcie ToggleState.php.
Oryginalny opis (angielski, źródło NVD)
Unraid Web Server ToggleState Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Unraid. Authentication is required to exploit this vulnerability. The specific flaw exists within ToggleState.php. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of the www-data user. Was ZDI-CAN-30134.

