W aplikacji Interinfo DreamMaker w wersjach przed 2025/10/22 istnieje możliwość przesyłania plików niebezpiecznego typu bez żadnych ograniczeń. Podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych, co czyni ją krytycznym zagrożeniem.
▸ Pokaż oryginał (EN)
An unrestricted upload of file with dangerous type vulnerability in the file upload function of Interinfo DreamMaker versions before 2025/10/22 allows remote attackers to execute arbitrary system commands via a malicious class file.
Funkcja przesyłania plików w Interinfo DreamMaker nie weryfikuje poprawnie typu przesyłanych plików, co odpowiada klasyfikacji CWE-434 (Unrestricted Upload of File with Dangerous Type). Atakujący może przesłać złośliwy plik klasy Java (class file) na serwer za pośrednictwem interfejsu sieciowego bez konieczności uwierzytelniania. Po umieszczeniu pliku na serwerze możliwe jest jego wykonanie, co prowadzi do uruchomienia dowolnych poleceń systemowych w kontekście serwera aplikacji.
Nieuwierzytelniony zdalny atakujący może uzyskać pełną kontrolę nad systemem operacyjnym serwera, w tym wykonywać dowolne polecenia, odczytywać i modyfikować dane oraz potencjalnie prowadzić lateral movement w sieci wewnętrznej.
Należy zaktualizować Interinfo DreamMaker do wersji wydanej w dniu 2025/10/22 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w komunikacie doradczym ZUSO Advisory ZA-2026-02 pod adresem https://zuso.ai/advisory/za-2026-02
Interinfo DreamMaker we wszystkich wersjach wydanych przed 2025/10/22
Podatność została ujawniona przez ZUSO (https://zuso.ai/advisory/za-2026-02). Wektor CVSS 4.0 wynosi 10.0 (maksymalny), co wskazuje na brak jakichkolwiek wymagań wstępnych po stronie atakującego — atak możliwy bez uwierzytelnienia, z sieci, bez interakcji użytkownika.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X