N/A

openmediavault before 4.1.36 and 5.x before 5.5.12 allows authenticated PHP code injection attacks, via the sortfield POST parameter of rpc.php, because json_encode_safe is not used in config/databasebackend.inc. Successful exploitation allows arbitrary command execution on the underlying operating system as root.

N/A

N/A

openmediavault 代码注入漏洞

openmediavault是个人开发者的一种基于Debian Linux网络存储（NAS）解决方案。该服务包含SSH，（S）FTP，SMB / CIFS，DAAP媒体服务器，RSync，BitTorrent客户端等服务。由于框架的模块化设计，可以通过插件对其进行增强。 openmediavault 4.1.36之前版本和5.x系列的5.5.12之前版本存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件

N/A

N/A