Podatność w pliku JobRunnerBackground.aspx platformy DynamicWeb umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu (RCE) za pomocą prostych żądań HTTP. Krytyczny wynik CVSS 10.0 odzwierciedla brak wymagań dotyczących uwierzytelnienia i pełny wpływ na poufność, integralność oraz dostępność systemu.
▸ Pokaż oryginał (EN)
Path traversal and content injection in JobRunnerBackground.aspx in DynamicWeb 8 (all) and 9 (<9.19.7 and <9.20.3) allows unauthenticated attackers to execute code via simple web requests
Błąd polega na połączeniu podatności path traversal (CWE-22) z możliwością wstrzyknięcia treści (content injection) w komponencie JobRunnerBackground.aspx. Atakujący, bez posiadania jakichkolwiek danych uwierzytelniających, może spreparować żądanie HTTP wychodzące poza dozwolony obszar systemu plików, a następnie wstrzyknąć i wykonać złośliwy kod po stronie serwera. Cały atak nie wymaga interakcji ze strony użytkownika ani żadnych szczególnych warunków wstępnych.
Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co w praktyce oznacza pełne przejęcie kontroli nad systemem, wyciek danych oraz potencjalny lateral movement w sieci wewnętrznej.
Należy niezwłocznie zaktualizować DynamicWeb 9 do wersji 9.19.7 lub 9.20.3 (bądź nowszej). Dla DynamicWeb 8 należy zastosować patche dostępne u producenta zgodnie z referencjami (https://doc.dynamicweb.dev/documentation/fundamentals/dw10release/security-reports.html). Do czasu zastosowania patcha zaleca się ograniczenie dostępu do endpointu JobRunnerBackground.aspx na poziomie firewall lub reguł serwera WWW.
DynamicWeb 8 (wszystkie wersje) oraz DynamicWeb 9 w wersjach poniżej 9.19.7 i poniżej 9.20.3
Według dokumentacji producenta podatność została ujawniona 19 stycznia 2026 roku.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X