CRITICAL🇬🇧 English

CVE-2025-63695

Dowolne przesyłanie plików w DzzOffice — krytyczna podatność RCE

CVSS 9.8v3.1pub. 2025-11-18upd. 2025-11-20

DzzOffice w wersji 2.3.7 i wcześniejszych zawiera krytyczną podatność typu Arbitrary File Upload w komponencie UEditor, pozwalającą na przesłanie złośliwego pliku bez uwierzytelnienia. Umożliwia to zdalne wykonanie kodu na serwerze (RCE), co stanowi bezpośrednie zagrożenie dla integralności i poufności systemu.

Pokaż oryginał (EN)

DzzOffice v2.3.7 and before is vulnerable to Arbitrary File Upload in /dzz/system/ueditor/php/controller.php.

🤖 Analiza AI
Jak działa

Podatność (CWE-434) znajduje się w skrypcie /dzz/system/ueditor/php/controller.php, który odpowiada za obsługę przesyłanych plików przez edytor UEditor. Brak odpowiedniej walidacji typu i rozszerzenia przesyłanych plików pozwala atakującemu na wysłanie pliku wykonywalnego (np. webshell PHP) bez konieczności posiadania uprawnień ani interakcji użytkownika. Po pomyślnym przesłaniu złośliwy plik może zostać wykonany przez serwer WWW.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu (RCE), a także wykraść, zmodyfikować lub zniszczyć dane przechowywane w systemie (utrata poufności, integralności i dostępności).

Mitygacja

Należy niezwłocznie zaktualizować DzzOffice do wersji nowszej niż 2.3.7, gdy tylko producent udostępni łatkę. Do czasu zastosowania patcha zaleca się ograniczenie dostępu sieciowego do endpointu /dzz/system/ueditor/php/controller.php (np. poprzez reguły firewall lub konfigurację serwera WWW) oraz wyłączenie możliwości przesyłania plików w tej funkcjonalności. Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

DzzOffice w wersji 2.3.7 oraz wszystkich wcześniejszych wersjach.

Uwagi

Publicznie dostępny proof-of-concept exploit znajduje się w repozytorium GitHub: https://github.com/Yohane-Mashiro/dzzoffice_upload. Podatność została zgłoszona również poprzez system zgłoszeń projektu (issue #365). Wektor ataku nie wymaga uwierzytelnienia ani interakcji użytkownika (CVSS: AV:N/AC:L/PR:N/UI:N), co znacząco podnosi ryzyko masowego wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dzzoffice

    APP
    Dzzoffice
    ≤ 2.3.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-63694CRITICAL9.8PL ✓ten sam produkt

SQL Injection w DzzOffice – krytyczna podatność w module zarządzania grupami

CVE-2024-41376HIGH8.8ten sam produkt

dzzoffice 2.02.1 is vulnerable to Directory Traversal via user/space/about.php.

CVE-2022-43340HIGH8.8ten sam produkt

A Cross-Site Request Forgery (CSRF) in dzzoffice 2.02.1_SC_UTF8 allows attackers to arbitrarily create user ac...

CVE-2025-63693MEDIUM5.4ten sam produkt

The comment editing template (dzz/comment/template/edit_form.htm) in DzzOffice 2.3.x lacks adequate security e...

CVE-2024-29273MEDIUM6.1ten sam produkt

There is Stored Cross-Site Scripting (XSS) in dzzoffice 2.02.1 SC UTF8 in uploadfile to index.php, with the XS...