Katalog CVE

CVE-2026-56413

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
3.08%

Percentyl 86 — wyżej niż 86% wszystkich znanych CVE

Streszczenie

Podatność typu command injection w usłudze ms_service.pl Storage Concentrator (SC & SCVM) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń z uprawnieniami roota poprzez wysłanie spreparowanego pakietu sieciowego na domyślny port TCP 9000.

Ocena ryzyka

Atakujący może przejąć pełną kontrolę nad urządzeniem, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz potencjalnego rozprzestrzenienia ataku w sieci wewnętrznej.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie Storage Concentrator do wersji zawierającej poprawkę oraz ograniczyć dostęp do portu TCP 9000 wyłącznie do zaufanych hostów za pomocą firewalla.

Oryginalny opis (angielski, źródło NVD)

Storage Concentrator (SC & SCVM) contains a command injection vulnerability in the ms_service.pl service, which listens on TCP port 9000 by default and accepts custom network packets to perform device actions. An unauthenticated remote attacker can send a specially crafted packet containing a malicious payload that is processed without adequate sanitization, resulting in arbitrary command execution with root-level privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS