CVE-2026-4591 [低] | Code Injection（Kalcaddle Kodbox 1.64. Th…）

A weakness has been identified in kalcaddle kodbox 1.64. This affects the function checkBin of the file /workspace/source-code/plugins/fileThumb/app.php of the component fileThumb Endpoint. Executing a manipulation can lead to os command injection. The attack can be executed remotely. The exploit has been made available to the public and could be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.

#	日期	舊 EPSS 分數	新 EPSS 分數	變化（新 − 舊）
1	2026-03-29	0.23%	0.32%	+0.09%
2	2026-03-24	—	0.23%	—

日期

舊 EPSS 分數

新 EPSS 分數

變化（新 − 舊）

2026-03-29

0.23%

0.32%

+0.09%

2026-03-24

—

0.23%

—

底座分	版本	嚴重度	向量	可利用性	影響	分數來源
2.0	4.0	LOW	`CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X` 點擊展開攻擊向量 (AV:N) 可經網際網路或企業可路由網段遠端觸達，攻擊者不必在裝置旁邊。攻擊複雜度 (AC:L) 步驟短、路徑清楚，重現成本低。攻擊要件 (AT:N) 除網路可達外，不必額外湊齊罕見基礎設施或資料形態。權限需求 (PR:H) 需高權限帳戶或系統級脈絡，低權限下難以造成實質破壞。使用者互動 (UI:N) 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。受影響系統的機密性影響 (VC:L) 可能出現欄位級或樣本級外洩，但難以演成「整批拖走」。受影響系統的完整性影響 (VI:L) 能改局部紀錄或設定，稽核上麻煩，但尚不致整體資料失信。受影響系統的可用性影響 (VA:L) 可能出現明顯延遲、間歇故障或局部功能不可用，但可用維運手段緩解。後續系統的機密性影響 (SC:N) 經脆弱點波及下游後，幾乎讀不走有價值的機密資料。後續系統的完整性影響 (SI:N) 下游紀錄與業務規則幾乎不被撼動。後續系統的可用性影響 (SA:N) 下游不至於被拖到長時間癱瘓。利用成熟度（Threat） (E:P) PoC、指令稿或示範已公開，但未見成規模的實戰濫用與工具化。機密性安全需求（環境） (CR:X) 未指定時視為資訊不足，評分依高要求（保守）處理。完整性安全需求（環境） (IR:X) 未指定時視為資訊不足，評分依高要求（保守）處理。可用性安全需求（環境） (AR:X) 未指定時視為資訊不足，評分依高要求（保守）處理。修改後的攻擊向量 (MAV:X) 環境未覆蓋時，沿用基準 AV。修改後的攻擊複雜度 (MAC:X) 環境未覆蓋時，沿用基準 AC。修改後的攻擊要件 (MAT:X) 環境未覆蓋時，沿用基準 AT。修改後的權限需求 (MPR:X) 環境未覆蓋時，沿用基準 PR。修改後的使用者互動 (MUI:X) 環境未覆蓋時，沿用基準 UI。修改後的受影響系統機密性影響 (MVC:X) 環境未覆蓋時，沿用基準 VC。修改後的受影響系統完整性影響 (MVI:X) 環境未覆蓋時，沿用基準 VI。修改後的受影響系統可用性影響 (MVA:X) 環境未覆蓋時，沿用基準 VA。修改後的後續系統機密性影響 (MSC:X) 環境未覆蓋時，沿用基準 SC。修改後的後續系統完整性影響 (MSI:X) 環境未覆蓋時，沿用基準 SI。修改後的後續系統可用性影響 (MSA:X) 環境未覆蓋時，沿用基準 SA。安全性（補充，不改變數值分） (S:X) 未評估人的安全後果。可自動化（補充，不改變數值分） (AU:X) 未評估自動化程度。復原（補充，不改變數值分） (R:X) 未評估復原路徑。價值密度（補充，不改變數值分） (V:X) 未評估單事件掌握資產規模。漏洞回應工作量（補充，不改變數值分） (RE:X) 未評估修補成本。提供方緊急度（補充，不改變數值分） (U:X) 未給出廠商色標。	—	—	[email protected]
4.7	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L` 點擊展開攻擊向量 (AV:N) 可經網際網路或企業內可路由網段從遠端觸達，攻擊者不必在裝置旁邊。攻擊複雜度 (AC:L) 前置條件清楚，成功路徑穩定，不必仰賴罕見競態或極端環境。權限需求 (PR:H) 需要管理員、SYSTEM 或同等高權限，低權限下難以造成實質破壞。使用者互動 (UI:N) 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。作用域 (S:U) 破壞局限在脆弱元件原本的安全權限與信任域之內。機密性影響 (C:L) 可能外洩部分欄位或樣本資料，但難以形成「整批拖走」的局面。完整性影響 (I:L) 能改局部紀錄或設定，但尚不致讓整站／整庫資料整體不可信。可用性影響 (A:L) 出現明顯延遲、間歇性故障或局部功能不可用，但可用維運手段緩解。	1.2	3.4	[email protected]
5.8	2.0	MEDIUM	`AV:N/AC:L/Au:M/C:P/I:P/A:P` 點擊展開存取路徑 (AV:N) 只要路由可達，即可從遠端發動利用。存取複雜度 (AC:L) 步驟短、路徑清楚，重現成本低。認證 (AU:M) 需連續通過多帳戶或多因子認證。機密性影響 (C:P) 機密性受到部分損害。完整性影響 (I:P) 完整性受到部分損害。可用性影響 (A:P) 可用性受到部分損害。	6.4	6.4	[email protected]

底座分

版本

嚴重度

向量

可利用性

影響

分數來源

2.0

4.0

LOW

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

點擊展開