CVE-2026-41880 in DMS
Tóm tắt
Bởi VulDB • 10/07/2026
R-SOFT DMS dễ bị tấn công bởi lỗi OS Command Injection trong module Nhận dạng ký tự quang học (OCR). Các hàm thực thi lệnh nhiều lần chấp nhận các đường dẫn tệp do người dùng kiểm soát mà không được làm sạch đúng cách trước khi chuyển chúng đến shell hệ thống thông qua SSH. Trong cơ sở hạ tầng hiện tại, mã hóa URL vô hiệu hóa cuộc tấn công trong quy trình tải lên web tiêu chuẩn. Một kẻ tấn công đã xác thực có khả năng kích hoạt chức năng OCR cho tệp đã tải lên có thể thực thi các lệnh OS trong ngữ cảnh của người dùng root.
Vấn đề này đã được sửa chữa trong phiên bản v3.19-2862 và v3.17-2580.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.