Alapadatok
Súlyosság: Kritikus
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS base score: 10.0
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Leírás
A termék külső bemenet felhasználásával állít elő operációsrendszer-parancsot vagy annak részét, de nem megfelelően semlegesíti a parancs jelentését módosító speciális karaktereket. Ez OS command injection sérülékenységhez vezethet, amely lehetővé teheti tetszőleges parancsok futtatását, különösen ha a folyamat emelt jogosultságokkal működik. A hiba előfordulhat parancsargumentumok nem megfelelő kezeléséből, illetve abból, hogy az alkalmazás támadó által befolyásolt bemenet alapján választja ki és adja át a futtatandó parancsot az operációs rendszernek.
Megjegyzés: A leírás a CWE-besorolás magyar fordítása. Bővebb információért kattintson az Alapadatok CWE elemére.Érintett rendszerek és verzióik
Invanti sentry patch: R10.5.2
Invanti sentry patch: R10.7.1
Invanti sentry patch: R10.6.2
Hivatkozások
https://nvd.nist.gov/vuln/detail/CVE-2026-10520
https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-35440
https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523?language=en_US