Katalog CVE

CVE-2024-11979

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

DreamMaker od Interinfo posiada podatność typu Path Traversal, która nie ogranicza typów przesyłanych plików. Umożliwia to nieautoryzowanym zdalnym atakującym przesyłanie dowolnych plików do dowolnego katalogu, co prowadzi do wykonania dowolnego kodu poprzez przesyłanie webshelli.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niekontrolowane przesyłanie plików może również skutkować wyciekiem danych lub innymi szkodliwymi działaniami.

Rekomendacja

Zaleca się wprowadzenie restrykcji dotyczących typów przesyłanych plików oraz implementację mechanizmów zabezpieczających przed atakami typu Path Traversal. Należy również monitorować i audytować przesyłane pliki oraz wdrożyć odpowiednie zabezpieczenia na serwerze.

Oryginalny opis (angielski, źródło NVD)

DreamMaker from Interinfo has a Path Traversal vulnerability and does not restrict the types of uploaded files. This allows unauthenticated remote attackers to upload arbitrary files to any directory, leading to arbitrary code execution by uploading webshells.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS