CVE-2026-56413
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 86 — wyżej niż 86% wszystkich znanych CVE
Streszczenie
Podatność typu command injection w usłudze ms_service.pl Storage Concentrator (SC & SCVM) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń z uprawnieniami roota poprzez wysłanie spreparowanego pakietu sieciowego na domyślny port TCP 9000.
Ocena ryzyka
Atakujący może przejąć pełną kontrolę nad urządzeniem, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz potencjalnego rozprzestrzenienia ataku w sieci wewnętrznej.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie Storage Concentrator do wersji zawierającej poprawkę oraz ograniczyć dostęp do portu TCP 9000 wyłącznie do zaufanych hostów za pomocą firewalla.
Oryginalny opis (angielski, źródło NVD)
Storage Concentrator (SC & SCVM) contains a command injection vulnerability in the ms_service.pl service, which listens on TCP port 9000 by default and accepts custom network packets to perform device actions. An unauthenticated remote attacker can send a specially crafted packet containing a malicious payload that is processed without adequate sanitization, resulting in arbitrary command execution with root-level privileges.

