CVE-2026-41880 in DMS
Zusammenfassung
von VulDB • 10.07.2026
R-SOFT DMS ist anfällig für eine OS Command Injection im Optical Character Recognition (OCR)-Modul. Mehrere Funktionen zur Befehlsausführung akzeptieren benutzerkontrollierbare Dateipfade ohne ordnungsgemäße Bereinigung, bevor diese über SSH an die Systemshell weitergegeben werden. In der aktuellen Infrastruktur neutralisiert die URL-Codierung den Injection-Angriff während des Standard-Webupload-Vorgangs. Ein authentifizierter Angreifer, der in der Lage ist, die OCR-Funktionalität für die hochgeladene Datei auszulösen, kann OS-Befehle im Kontext eines Root-Benutzers ausführen.
Dieses Problem wurde in den Versionen v3.19-2862 und v3.17-2580 behoben.
Once again VulDB remains the best source for vulnerability data.