Uma cadeia de vulnerabilidades foi descoberta na ferramenta de código aberto openDCIM (CVE-2026-28515, CVE-2026-28516 e CVE-2026-28517), permitindo que um atacante alcance Execução Remota de Código (RCE) no servidor. As vulnerabilidades são classificadas como 9.3 na escala CVSS v4.0.

As causas raiz incluem verificações de autorização ausentes em install.php, uma falha de injeção SQL em atualizações de parâmetros de configuração e manipulação insegura de comandos dentro da função exec() via campo dot. Como resultado, comandos arbitrários podem ser injetados via solicitações HTTP e executados com privilégios www-data. Em implantações baseadas em Docker, todo o processo pode ser explorado sem autenticação.

📎 Artigo: https://chocapikk.com/posts/2026/opendcim-sqli-to-rce/

🛠 Ferramenta: https://github.com/Chocapikk/opendcim-exploit

💬 Discutir

openDCIM: de Injeção SQL para RCE via envenenamento de configuração