CVE-2026-40456
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 56 — wyżej niż 56% wszystkich znanych CVE
Streszczenie
W systemie LMS (LAN Management System) przed commit 9fcb4de występuje podatność na wstrzykiwanie poleceń systemowych. Problem wynika z braku odpowiedniej walidacji parametru adresu IP przekazywanego do funkcji 'exec()', co umożliwia atakującym wykonywanie dowolnych poleceń systemowych.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, ponieważ umożliwia atakującym zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację systemu LMS do wersji po commit 9fcb4de oraz wdrożenie odpowiednich mechanizmów walidacji danych wejściowych, aby zapobiec wstrzykiwaniu poleceń.
Oryginalny opis (angielski, źródło NVD)
An OS Command Injection vulnerability exists in LMS (LAN Management System) before commit 9fcb4de due to an IP address parameter being passed to the "exec()" function without proper validation, allowing attackers to execute arbitrary operating system commands.

