DzzOffice w wersji 2.3.7 i wcześniejszych zawiera krytyczną podatność typu Arbitrary File Upload w komponencie UEditor, pozwalającą na przesłanie złośliwego pliku bez uwierzytelnienia. Umożliwia to zdalne wykonanie kodu na serwerze (RCE), co stanowi bezpośrednie zagrożenie dla integralności i poufności systemu.
▸ Pokaż oryginał (EN)
DzzOffice v2.3.7 and before is vulnerable to Arbitrary File Upload in /dzz/system/ueditor/php/controller.php.
Podatność (CWE-434) znajduje się w skrypcie /dzz/system/ueditor/php/controller.php, który odpowiada za obsługę przesyłanych plików przez edytor UEditor. Brak odpowiedniej walidacji typu i rozszerzenia przesyłanych plików pozwala atakującemu na wysłanie pliku wykonywalnego (np. webshell PHP) bez konieczności posiadania uprawnień ani interakcji użytkownika. Po pomyślnym przesłaniu złośliwy plik może zostać wykonany przez serwer WWW.
Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu (RCE), a także wykraść, zmodyfikować lub zniszczyć dane przechowywane w systemie (utrata poufności, integralności i dostępności).
Należy niezwłocznie zaktualizować DzzOffice do wersji nowszej niż 2.3.7, gdy tylko producent udostępni łatkę. Do czasu zastosowania patcha zaleca się ograniczenie dostępu sieciowego do endpointu /dzz/system/ueditor/php/controller.php (np. poprzez reguły firewall lub konfigurację serwera WWW) oraz wyłączenie możliwości przesyłania plików w tej funkcjonalności. Należy zastosować patche dostępne u producenta zgodnie z referencjami.
DzzOffice w wersji 2.3.7 oraz wszystkich wcześniejszych wersjach.
Publicznie dostępny proof-of-concept exploit znajduje się w repozytorium GitHub: https://github.com/Yohane-Mashiro/dzzoffice_upload. Podatność została zgłoszona również poprzez system zgłoszeń projektu (issue #365). Wektor ataku nie wymaga uwierzytelnienia ani interakcji użytkownika (CVSS: AV:N/AC:L/PR:N/UI:N), co znacząco podnosi ryzyko masowego wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDzzoffice
APPDzzoffice≤ 2.3.7
Powiązane podatności
SQL Injection w DzzOffice – krytyczna podatność w module zarządzania grupami
dzzoffice 2.02.1 is vulnerable to Directory Traversal via user/space/about.php.
A Cross-Site Request Forgery (CSRF) in dzzoffice 2.02.1_SC_UTF8 allows attackers to arbitrarily create user ac...
The comment editing template (dzz/comment/template/edit_form.htm) in DzzOffice 2.3.x lacks adequate security e...
There is Stored Cross-Site Scripting (XSS) in dzzoffice 2.02.1 SC UTF8 in uploadfile to index.php, with the XS...