CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-11979

Critical
Published: Translated: NVD NIST

Summary

DreamMaker od Interinfo posiada podatność typu Path Traversal, która nie ogranicza typów przesyłanych plików. Umożliwia to nieautoryzowanym zdalnym atakującym przesyłanie dowolnych plików do dowolnego katalogu, co prowadzi do wykonania dowolnego kodu poprzez przesyłanie webshelli.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niekontrolowane przesyłanie plików może również skutkować wyciekiem danych lub innymi szkodliwymi działaniami.

Recommendation

Zaleca się wprowadzenie restrykcji dotyczących typów przesyłanych plików oraz implementację mechanizmów zabezpieczających przed atakami typu Path Traversal. Należy również monitorować i audytować przesyłane pliki oraz wdrożyć odpowiednie zabezpieczenia na serwerze.

Original NVD description (English source)

DreamMaker from Interinfo has a Path Traversal vulnerability and does not restrict the types of uploaded files. This allows unauthenticated remote attackers to upload arbitrary files to any directory, leading to arbitrary code execution by uploading webshells.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS