CRITICAL🇬🇧 English

CVE-2026-30643

DedeCMS 5.7.118 — zdalne wykonanie kodu przez upload modułu (RCE)

CVSS 9.8v3.1pub. 2026-04-01upd. 2026-04-06

W systemie DedeCMS w wersji 5.7.118 wykryto podatność klasy code injection (CWE-94) umożliwiającą zdalne wykonanie dowolnego kodu. Atakujący bez uwierzytelnienia może przejąć kontrolę nad serwerem poprzez spreparowane wartości tagów konfiguracyjnych w przesyłanym module.

Pokaż oryginał (EN)

An issue was discovered in DedeCMS 5.7.118 allowing attackers to execute code via crafted setup tag values in a module upload.

🤖 Analiza AI
Jak działa

Podatność wykorzystuje mechanizm uploadu modułów w DedeCMS. Atakujący może dostarczyć spreparowany moduł zawierający złośliwe wartości tagów (setup tag values), które są następnie interpretowane i wykonywane przez aplikację bez odpowiedniej walidacji. Brak sanityzacji danych wejściowych prowadzi do wykonania arbitralnego kodu po stronie serwera. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni podatność szczególnie niebezpieczną.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) na serwerze, co może prowadzić do pełnego przejęcia systemu, kradzieży danych, instalacji backdoorów lub dalszego lateral movement w infrastrukturze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie aktualizacji na oficjalnej stronie producenta (dedecms.com) oraz — do czasu wdrożenia patcha — ograniczenie dostępu do funkcjonalności uploadu modułów wyłącznie do zaufanych, uwierzytelnionych użytkowników, najlepiej z poziomu firewall lub kontroli dostępu sieciowego.

Kogo dotyczy

DedeCMS w wersji 5.7.118

Uwagi

Dostępny jest publiczny proof-of-concept (PoC) opublikowany na platformie GitHub pod adresem wskazanym w referencjach (gist.github.com/0psPwn).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dedecms

    APP
    Dedecms
    ≤ 5.7.118
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-30694CRITICAL9.8PL ✓ten sam produkt

RCE w DedeCMS poprzez komponent array_filter

CVE-2024-35510CRITICAL9.8PL ✓ten sam produkt

DedeCMS – arbitrary file upload umożliwiający RCE

CVE-2024-35375CRITICAL9.8PL ✓ten sam produkt

DedeCMS 5.7.114 — arbitrary file upload w panelu administracyjnym

CVE-2024-33749CRITICAL9.1PL ✓ten sam produkt

DedeCMS – nieautoryzowane usunięcie dowolnego pliku przez mail_file_manage.php

CVE-2024-29661CRITICAL9.8PL ✓ten sam produkt

Krytyczne RCE przez File Upload w DedeCMS v5.7

CVE-2026-30643 — DedeCMS 5.7.118 — zdalne wykonanie kodu przez upload modułu (RCE) — CRITICAL 9.8 | CVEbaza.pl