CVE-2026-41880 in DMSthông tin

Tóm tắt

Bởi VulDB • 10/07/2026

R-SOFT DMS dễ bị tấn công bởi lỗi OS Command Injection trong module Nhận dạng ký tự quang học (OCR). Các hàm thực thi lệnh nhiều lần chấp nhận các đường dẫn tệp do người dùng kiểm soát mà không được làm sạch đúng cách trước khi chuyển chúng đến shell hệ thống thông qua SSH. Trong cơ sở hạ tầng hiện tại, mã hóa URL vô hiệu hóa cuộc tấn công trong quy trình tải lên web tiêu chuẩn. Một kẻ tấn công đã xác thực có khả năng kích hoạt chức năng OCR cho tệp đã tải lên có thể thực thi các lệnh OS trong ngữ cảnh của người dùng root.

Vấn đề này đã được sửa chữa trong phiên bản v3.19-2862 và v3.17-2580.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

CERT-PL

Đặt trước

22/04/2026

Tiết lộ

10/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.01331

KEV

không

Các hoạt động

thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!