Produkt U-Office Force firmy e-Excellence zawiera podatność Insecure Deserialization (CWE-502), która pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
U-Office Force developed by e-Excellence has a Insecure Deserialization vulnerability, allowing unauthenticated remote attackers to execute arbitrary code on the server by sending maliciously crafted serialized content.
Atakujący wysyła specjalnie spreparowane, złośliwe dane serializowane do podatnego endpointu aplikacji U-Office Force. Serwer deserializuje otrzymane dane bez odpowiedniej walidacji ich zawartości, co prowadzi do wykonania osadzonego w nich złośliwego kodu. Atak może być przeprowadzony zdalnie przez sieć, bez konieczności posiadania jakichkolwiek poświadczeń dostępu.
Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze (RCE), co w praktyce może oznaczać pełne przejęcie kontroli nad systemem, kradzież danych, instalację złośliwego oprogramowania lub dalszy lateral movement w sieci organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o poprawionych wersjach dostępne są pod adresami: https://www.twcert.org.tw/en/cp-139-10743-9a952-2.html oraz https://www.twcert.org.tw/tw/cp-132-10742-45b13-1.html
Edetw U-Office Force — wersje wskazane w referencjach producenta (TWCERT)
Podatność zgłoszona za pośrednictwem Taiwan CERT (TWCERT/CC). Opublikowana 2026-03-02.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XEdetw U Office Force
APPEdetw29.50< 29.50
Powiązane podatności
U-Office Force: Nieautoryzowane logowanie jako administrator przez manipulację cookies
e-Excellence U-Office Force file uploading function does not restrict upload of file with dangerous type. An ...
U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...
U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...
The U-Office Force from e-Excellence has an Arbitrary File Upload vulnerability, allowing remote attackers wit...