CVE-2026-41880 in DMS
要約
〜によって VulDB • 2026年07月10日
R-SOFT DMSには、光学文字認識(OCR)モジュールにおけるOSコマンドインジェクションの脆弱性が存在します。複数のコマンド実行関数は、システムシェルへのSSH経由での渡す前に適切なサニタイズを行わずにユーザーが制御可能なファイルパスを受け入れます。現在のインフラストラクチャでは、URLエンコーディングにより標準的なWebアップロードフロー中のインジェクションは無力化されます。ただし、アップロードされたファイルに対してOCR機能をトリガーできる認証済み攻撃者は、rootユーザのコンテキスト内でOSコマンドを実行できます。
この問題はバージョン v3.19-2862 および v3.17-2580 で修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.