CRITICAL✓ PATCH🇬🇧 English

CVE-2026-24729

Nieograniczony upload pliku w Interinfo DreamMaker — RCE przez złośliwy plik class

CVSS 10.0v4.0pub. 2026-01-30upd. 2026-04-15

W aplikacji Interinfo DreamMaker w wersjach przed 2025/10/22 istnieje możliwość przesyłania plików niebezpiecznego typu bez żadnych ograniczeń. Podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych, co czyni ją krytycznym zagrożeniem.

Pokaż oryginał (EN)

An unrestricted upload of file with dangerous type vulnerability in the file upload function of Interinfo DreamMaker versions before 2025/10/22 allows remote attackers to execute arbitrary system commands via a malicious class file.

🤖 Analiza AI
Jak działa

Funkcja przesyłania plików w Interinfo DreamMaker nie weryfikuje poprawnie typu przesyłanych plików, co odpowiada klasyfikacji CWE-434 (Unrestricted Upload of File with Dangerous Type). Atakujący może przesłać złośliwy plik klasy Java (class file) na serwer za pośrednictwem interfejsu sieciowego bez konieczności uwierzytelniania. Po umieszczeniu pliku na serwerze możliwe jest jego wykonanie, co prowadzi do uruchomienia dowolnych poleceń systemowych w kontekście serwera aplikacji.

Skutki

Nieuwierzytelniony zdalny atakujący może uzyskać pełną kontrolę nad systemem operacyjnym serwera, w tym wykonywać dowolne polecenia, odczytywać i modyfikować dane oraz potencjalnie prowadzić lateral movement w sieci wewnętrznej.

Mitygacja

Należy zaktualizować Interinfo DreamMaker do wersji wydanej w dniu 2025/10/22 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w komunikacie doradczym ZUSO Advisory ZA-2026-02 pod adresem https://zuso.ai/advisory/za-2026-02

Kogo dotyczy

Interinfo DreamMaker we wszystkich wersjach wydanych przed 2025/10/22

Uwagi

Podatność została ujawniona przez ZUSO (https://zuso.ai/advisory/za-2026-02). Wektor CVSS 4.0 wynosi 10.0 (maksymalny), co wskazuje na brak jakichkolwiek wymagań wstępnych po stronie atakującego — atak możliwy bez uwierzytelnienia, z sieci, bez interakcji użytkownika.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje