| CVE ID | CVE-2026-41876 |
| Data publikacji | 10 lipca 2026 |
| Producent podatnego oprogramowania | R-SOFT SERWIS |
| Nazwa podatnego oprogramowania | DMS |
| Podatne wersje | Wszystkie poniżej v3.19-2752 Wszystkie poniżej v3.17-2580 |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-41877 |
| Data publikacji | 10 lipca 2026 |
| Producent podatnego oprogramowania | R-SOFT SERWIS |
| Nazwa podatnego oprogramowania | DMS |
| Podatne wersje | Wszystkie poniżej v3.19-2832 Wszystkie poniżej v3.17-2580 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-41878 |
| Data publikacji | 10 lipca 2026 |
| Producent podatnego oprogramowania | R-SOFT SERWIS |
| Nazwa podatnego oprogramowania | DMS |
| Podatne wersje | Wszystkie poniżej v3.19-2862 Wszystkie poniżej v3.17-2580 |
| Typ podatności (CWE) | Authorization Bypass Through User-Controlled Key (CWE-639) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-41879 |
| Data publikacji | 10 lipca 2026 |
| Producent podatnego oprogramowania | R-SOFT SERWIS |
| Nazwa podatnego oprogramowania | DMS |
| Podatne wersje | Wszystkie poniżej v3.17-2000 |
| Typ podatności (CWE) | Use of Weak Hash (CWE-328) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-41880 |
| Data publikacji | 10 lipca 2026 |
| Producent podatnego oprogramowania | R-SOFT SERWIS |
| Nazwa podatnego oprogramowania | DMS |
| Podatne wersje | Wszystkie poniżej v3.19-2862 Wszystkie poniżej v3.17-2580 |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu R-SOFT DMS i koordynował proces ujawniania informacji.
Podatność CVE-2026-41876: R-SOFT DMS jest podatny na OS Command Injection w funkcji konwertujAction(). Konwerter dokumentów wykonuje polecenia powłoki z wykorzystaniem niezabezpieczonych ścieżek plików oraz parametrów formatu. Umożliwia to uwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych z uprawnieniami użytkownika serwera WWW.
Ten problem został naprawiony w wersji v3.19-2752 oraz v3.17-2580.
Podatność CVE-2026-41877: R-SOFT DMS jest podatny na atak typu Stored XSS w funkcjonalności przesyłania plików. Uwierzytelniony atakujący może wstrzyknąć dowolny kod HTML i JS do nazwy przesyłanego pliku, który zostanie wykonany podczas przeglądania listy plików lub statusu przesyłania przez dowolnego użytkownika.
Ten problem został naprawiony w wersji v3.19-2832 oraz v3.17-2580.
Podatność CVE-2026-41878: R-SOFT DMS jest podatny na atak typu Insecure Direct Object Reference (IDOR) w wielu endpointach do pobierania plików. Aplikacja pobiera pliki z bazy danych na podstawie ich identyfikatora i udostępnia je każdemu użytkownikowi, który o nie poprosi, weryfikując wyłącznie poprawne uwierzytelnienie sesji. Pozwala to prawidłowo uwierzytelnionemu użytkownikowi uzyskać dostęp do dowolnego pliku w systemie.
Ten problem został naprawiony w wersji v3.19-2862 oraz v3.17-2580.
Podatność CVE-2026-41879: R-SOFT DMS przechowuje poświadczenia do konta superadministratora przy użyciu zagnieżdżonego skrótu MD5 bez użycia soli. Umożliwia to atakującemu, który uzyska dostęp do skrótu hasła, odkodowanie poświadczeń superadministratora. Co istotne, hasło to nie może zostać zmienione inaczej, niż poprzez jego edycję w pliku konfiguracyjnym.
Ten problem został naprawiony w wersji v3.17-2000.
Podatność CVE-2026-41880: R-SOFT DMS jest podatny na OS Command Injection w module optycznego rozpoznawania znaków (OCR). Wiele funkcji odpowiedzialnych za wykonywanie poleceń akceptuje kontrolowane przez użytkownika ścieżki do plików bez odpowiedniej sanitizacji przed przekazaniem ich do powłoki systemowej za pośrednictwem SSH. W obecnej infrastrukturze kodowanie adresów URL neutralizuje możliwość przeprowadzenia ataku podczas standardowego procesu przesyłania plików przez interfejs webowy. Jednak uwierzytelniony atakujący, który jest w stanie uruchomić funkcjonalność OCR dla przesłanego pliku, może wykonać dowolne polecenia systemowe w kontekście użytkownika root.
Ten problem został naprawiony w wersji v3.19-2862 oraz v3.17-2580.
Podziękowania
Za zgłoszenie podatności dziękujemy Markowi Figielskiemu (Vanilla.pl).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.