CRITICAL🇬🇧 English

CVE-2026-2731

RCE przez path traversal w DynamicWeb – nieuwierzytelnione wykonanie kodu

CVSS 10.0v4.0pub. 2026-02-19upd. 2026-04-15

Podatność w pliku JobRunnerBackground.aspx platformy DynamicWeb umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu (RCE) za pomocą prostych żądań HTTP. Krytyczny wynik CVSS 10.0 odzwierciedla brak wymagań dotyczących uwierzytelnienia i pełny wpływ na poufność, integralność oraz dostępność systemu.

Pokaż oryginał (EN)

Path traversal and content injection in JobRunnerBackground.aspx in DynamicWeb 8 (all) and 9 (<9.19.7 and <9.20.3) allows unauthenticated attackers to execute code via simple web requests

🤖 Analiza AI
Jak działa

Błąd polega na połączeniu podatności path traversal (CWE-22) z możliwością wstrzyknięcia treści (content injection) w komponencie JobRunnerBackground.aspx. Atakujący, bez posiadania jakichkolwiek danych uwierzytelniających, może spreparować żądanie HTTP wychodzące poza dozwolony obszar systemu plików, a następnie wstrzyknąć i wykonać złośliwy kod po stronie serwera. Cały atak nie wymaga interakcji ze strony użytkownika ani żadnych szczególnych warunków wstępnych.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co w praktyce oznacza pełne przejęcie kontroli nad systemem, wyciek danych oraz potencjalny lateral movement w sieci wewnętrznej.

Mitygacja

Należy niezwłocznie zaktualizować DynamicWeb 9 do wersji 9.19.7 lub 9.20.3 (bądź nowszej). Dla DynamicWeb 8 należy zastosować patche dostępne u producenta zgodnie z referencjami (https://doc.dynamicweb.dev/documentation/fundamentals/dw10release/security-reports.html). Do czasu zastosowania patcha zaleca się ograniczenie dostępu do endpointu JobRunnerBackground.aspx na poziomie firewall lub reguł serwera WWW.

Kogo dotyczy

DynamicWeb 8 (wszystkie wersje) oraz DynamicWeb 9 w wersjach poniżej 9.19.7 i poniżej 9.20.3

Uwagi

Według dokumentacji producenta podatność została ujawniona 19 stycznia 2026 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path TraversalAuth Bypass
CWE
Referencje