CRITICAL🇬🇧 English

CVE-2026-3422

Insecure Deserialization w Edetw U-Office Force umożliwia zdalne RCE

CVSS 9.3v4.0pub. 2026-03-02upd. 2026-03-09

Produkt U-Office Force firmy e-Excellence zawiera podatność Insecure Deserialization (CWE-502), która pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

U-Office Force developed by e-Excellence has a Insecure Deserialization vulnerability, allowing unauthenticated remote attackers to execute arbitrary code on the server by sending maliciously crafted serialized content.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane, złośliwe dane serializowane do podatnego endpointu aplikacji U-Office Force. Serwer deserializuje otrzymane dane bez odpowiedniej walidacji ich zawartości, co prowadzi do wykonania osadzonego w nich złośliwego kodu. Atak może być przeprowadzony zdalnie przez sieć, bez konieczności posiadania jakichkolwiek poświadczeń dostępu.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze (RCE), co w praktyce może oznaczać pełne przejęcie kontroli nad systemem, kradzież danych, instalację złośliwego oprogramowania lub dalszy lateral movement w sieci organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o poprawionych wersjach dostępne są pod adresami: https://www.twcert.org.tw/en/cp-139-10743-9a952-2.html oraz https://www.twcert.org.tw/tw/cp-132-10742-45b13-1.html

Kogo dotyczy

Edetw U-Office Force — wersje wskazane w referencjach producenta (TWCERT)

Uwagi

Podatność zgłoszona za pośrednictwem Taiwan CERT (TWCERT/CC). Opublikowana 2026-03-02.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Edetw U Office Force

    APP
    Edetw
    29.50< 29.50
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2025-2395CRITICAL9.8PL ✓ten sam produkt

U-Office Force: Nieautoryzowane logowanie jako administrator przez manipulację cookies

CVE-2023-32757CRITICAL9.8ten sam produkt

e-Excellence U-Office Force file uploading function does not restrict upload of file with dangerous type. An ...

CVE-2025-12864HIGH8.7ten sam produkt

U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...

CVE-2025-12865HIGH8.7ten sam produkt

U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...

CVE-2025-2396HIGH8.8ten sam produkt

The U-Office Force from e-Excellence has an Arbitrary File Upload vulnerability, allowing remote attackers wit...