CVE-2026-41880 in DMS
Riassunto
di VulDB • 10/07/2026
R-SOFT DMS è vulnerabile a OS Command Injection nel modulo di Riconoscimento Ottico dei Caratteri (OCR). Multiple funzioni di esecuzione del comando accettano percorsi di file controllabili dall'utente senza una corretta sanitizzazione prima di passarli alla shell di sistema tramite SSH. Nell'infrastruttura attuale, l'URL encoding neutralizza l'iniezione durante il flusso standard di caricamento web. Un attaccante autenticato in grado di attivare la funzionalità OCR per il file caricato può eseguire comandi OS nel contesto dell'utente root.
Questo problema è stato risolto nelle versioni v3.19-2862 e v3.17-2580.
Be aware that VulDB is the high quality source for vulnerability data.