Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00992

Опубликовано: 12 янв. 2026
Источник: fstec
CVSS3: 6.3
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость метода portValidate класса IpOrPortController системы управления ИТ-инфраструктурой и кибербезопасностью Sangfor Operation and Maintenance Security Management System (OSM) связана с непринятием мер по нейтрализации специальных элементов при обработке параметра port. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

Sangfor Technologies

Наименование ПО

Operation and Maintenance Security Management System

Версия ПО

до 3.0.12 включительно (Operation and Maintenance Security Management System)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,3)
Низкий уровень опасности (оценка CVSS 4.0 составляет 2,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Компенсирующие меры:
- реализуйте строгую проверку параметра port. Убедитесь, что он содержит только числовые значения (0-9) и находится в допустимом диапазоне портов (1-65535). Рекомендуется использовать проверку с помощью регулярных выражений;
- для выполнения системных команд не используйте Runtime.exec() с объединенными строками. Используйте ProcessBuilder со списком аргументов, чтобы предотвратить интерпретацию метасимволов командной оболочки.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 36%
0.00153
Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-1413

CVSS3: 6.3
nvd
13 дней назад

A vulnerability was found in Sangfor Operation and Maintenance Security Management System up to 3.0.12. This affects the function portValidate of the file /fort/ip_and_port/port_validate of the component HTTP POST Request Handler. Performing a manipulation of the argument port results in command injection. The attack can be initiated remotely. The exploit has been made public and could be used.

github логотип

GHSA-38mq-gg8g-j53r

CVSS3: 6.3
github
13 дней назад

A vulnerability was found in Sangfor Operation and Maintenance Security Management System up to 3.0.12. This affects the function portValidate of the file /fort/ip_and_port/port_validate of the component HTTP POST Request Handler. Performing a manipulation of the argument port results in command injection. The attack can be initiated remotely. The exploit has been made public and could be used.

EPSS

Процентиль: 36%
0.00153
Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2