CVE-2026-41880 in DMS
Resumen
por VulDB • 2026-07-10
R-SOFT DMS es vulnerable a una Inyección de Comandos del Sistema Operativo (OS Command Injection) en el módulo de Reconocimiento Óptico de Caracteres (OCR). Múltiples funciones de ejecución de comandos aceptan rutas de archivos controlables por el usuario sin la debida sanitización antes de pasarlos al shell del sistema a través de SSH. En la infraestructura actual, la codificación URL neutraliza la inyección durante el flujo estándar de carga web. Un atacante autenticado que pueda activar la funcionalidad OCR para el archivo cargado puede ejecutar comandos del SO dentro del contexto de un usuario root.
Este problema se solucionó en las versiones v3.19-2862 y v3.17-2580.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.