CRITICAL🇬🇧 English

CVE-2026-30694

RCE w DedeCMS poprzez komponent array_filter

CVSS 9.8v3.1pub. 2026-03-19upd. 2026-03-25

Podatność w DedeCMS w wersji 5.7.118 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na krytyczny wynik CVSS 9.8 oraz brak wymagań wstępnych stanowi poważne zagrożenie dla wszystkich serwerów korzystających z tej platformy.

Pokaż oryginał (EN)

An issue in DedeCMS v.5.7.118 and before allows a remote attacker to execute arbitrary code via the array_filter component

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Code Injection) dotyczy komponentu array_filter w DedeCMS. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które są następnie przetwarzane przez ten komponent w sposób umożliwiający wstrzyknięcie i wykonanie arbitralnego kodu po stronie serwera. Atak jest możliwy zdalnie, przez sieć, bez konieczności posiadania uwierzytelnienia ani interakcji ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — w tym odczytać, zmodyfikować lub usunąć dane, a także zainstalować backdoor lub uruchomić dowolny kod z uprawnieniami procesu serwera WWW.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do panelu administracyjnego DedeCMS na poziomie firewall oraz monitorowanie podejrzanego ruchu sieciowego.

Kogo dotyczy

DedeCMS w wersji 5.7.118 oraz wszystkich wcześniejszych wersjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dedecms

    APP
    Dedecms
    ≤ 5.7.118
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-30643CRITICAL9.8PL ✓ten sam produkt

DedeCMS 5.7.118 — zdalne wykonanie kodu przez upload modułu (RCE)

CVE-2024-35510CRITICAL9.8PL ✓ten sam produkt

DedeCMS – arbitrary file upload umożliwiający RCE

CVE-2024-35375CRITICAL9.8PL ✓ten sam produkt

DedeCMS 5.7.114 — arbitrary file upload w panelu administracyjnym

CVE-2024-33749CRITICAL9.1PL ✓ten sam produkt

DedeCMS – nieautoryzowane usunięcie dowolnego pliku przez mail_file_manage.php

CVE-2024-29661CRITICAL9.8PL ✓ten sam produkt

Krytyczne RCE przez File Upload w DedeCMS v5.7