Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00826

Опубликовано: 12 янв. 2026
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость прикладного программного интерфейса FortAuditLogController системы управления ИТ-инфраструктурой и кибербезопасностью Sangfor Operation and Maintenance Security Management System (OSM) связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированного POST-запроса

Вендор

Sangfor Technologies

Наименование ПО

Operation and Maintenance Security Management System

Версия ПО

3.0.12 (Operation and Maintenance Security Management System)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- сегментирование сети с целью ограничения доступа к системе из других подсетей;
- использование SIEM-систем для отслеживания событий, связанных с обращением к интерфейсу FortAuditLogController;
- ограничение доступа из внешних сетей (Интернет).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 52%
0.00284
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-1412

CVSS3: 7.3
nvd
10 дней назад

A vulnerability has been found in Sangfor Operation and Maintenance Security Management System up to 3.0.12. The impacted element is an unknown function of the file /fort/audit/get_clip_img of the component HTTP POST Request Handler. Such manipulation of the argument frame/dirno leads to command injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used.

github логотип

GHSA-r99f-gh52-rv7j

CVSS3: 7.3
github
10 дней назад

A vulnerability has been found in Sangfor Operation and Maintenance Security Management System up to 3.0.12. The impacted element is an unknown function of the file /fort/audit/get_clip_img of the component HTTP POST Request Handler. Such manipulation of the argument frame/dirno leads to command injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used.

EPSS

Процентиль: 52%
0.00284
Низкий

7.3 High

CVSS3

7.5 High

CVSS2