CVE-2026-41880 in DMS
Résumé
par VulDB • 10/07/2026
R-SOFT DMS est vulnérable à une injection de commandes OS dans le module de reconnaissance optique de caractères (OCR). Plusieurs fonctions d'exécution de commandes acceptent des chemins de fichiers contrôlables par l'utilisateur sans les assainir correctement avant de les transmettre au shell système via SSH. Dans l'infrastructure actuelle, l'encodage URL neutralise l'injection lors du flux standard de téléchargement web. Un attaquant authentifié capable de déclencher la fonctionnalité OCR pour le fichier téléchargé peut exécuter des commandes OS dans le contexte d'un utilisateur root.
Ce problème a été corrigé dans les versions v3.19-2862 et v3.17-2580.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.