Katalog CVE

CVE-2026-40456

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.95%

Percentyl 56 — wyżej niż 56% wszystkich znanych CVE

Streszczenie

W systemie LMS (LAN Management System) przed commit 9fcb4de występuje podatność na wstrzykiwanie poleceń systemowych. Problem wynika z braku odpowiedniej walidacji parametru adresu IP przekazywanego do funkcji 'exec()', co umożliwia atakującym wykonywanie dowolnych poleceń systemowych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, ponieważ umożliwia atakującym zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację systemu LMS do wersji po commit 9fcb4de oraz wdrożenie odpowiednich mechanizmów walidacji danych wejściowych, aby zapobiec wstrzykiwaniu poleceń.

Oryginalny opis (angielski, źródło NVD)

An OS Command Injection vulnerability exists in LMS (LAN Management System) before commit 9fcb4de due to an IP address parameter being passed to the "exec()" function without proper validation, allowing attackers to execute arbitrary operating system commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS