CRITICAL✓ PATCH🇬🇧 English

CVE-2026-41553

RCE i command injection w PDF Export Module DHTMLX (Gantt/Scheduler)

CVSS 10.0v4.0pub. 2026-05-15upd. 2026-05-18

PDF Export Module używany w produktach DHTMLX Gantt i Scheduler zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) przez brak sanityzacji parametru "data". Atakujący niewymagający uwierzytelnienia może przejąć kontrolę nad serwerem, co czyni tę podatność krytyczną (CVSS 10.0).

Pokaż oryginał (EN)

PDF Export Module used in DHTMLX's products Gantt and Scheduler is vulnerable to Remote Code Execution due to lack of "data" parameter sanitization. An unauthenticated attacker can inject the malicious JavaScript code to the parameter whose value is processed by Node.js and subsequently executed. This can lead to server compromise. This issue was fixed in PDF Export Module version 0.7.6.

🤖 Analiza AI
Jak działa

Podatność wynika z braku walidacji i sanityzacji wartości parametru "data" przekazywanego do modułu PDF Export. Atakujący może wstrzyknąć złośliwy kod JavaScript, który następnie jest przetwarzany i wykonywany przez środowisko Node.js po stronie serwera. Jest to klasyczny przypadek command injection (CWE-78) — nieuwierzytelniony użytkownik zdalny może dostarczyć specjalnie spreparowany payload bez żadnych dodatkowych warunków wstępnych.

Skutki

Skuteczne wykorzystanie podatności prowadzi do pełnego przejęcia serwera (server compromise), w tym możliwości wykonania dowolnych poleceń systemowych z uprawnieniami procesu Node.js. Atakujący może odczytywać pliki systemowe, instalować złośliwe oprogramowanie lub prowadzić dalszy lateral movement w sieci.

Mitygacja

Należy niezwłocznie zaktualizować PDF Export Module do wersji 0.7.6 lub nowszej, w której podatność RCE oraz podatność odczytu plików zostały usunięte. Informacje o aktualizacji dostępne są w dokumentacji producenta DHTMLX (changelog modułu PDF Export).

Kogo dotyczy

PDF Export Module (komponent DHTMLX) w wersjach wcześniejszych niż 0.7.6, stosowany w produktach DHTMLX Gantt oraz DHTMLX Scheduler.

Uwagi

Podatność została zgłoszona i opisana przez CERT Polska (cert.pl). Poprawka wprowadzona w PDF Export Module w wersji 0.7.6 usuwa również powiązaną podatność odczytu plików (File Read).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Dhtmlx Pdf Export Module

    APP
    Dhtmlx
    < 0.7.6
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-41552CRITICAL9.2PL ✓ten sam produkt

Path Traversal w PDF Export Module DHTMLX Gantt i Scheduler

CVE-2024-55213MEDIUM6.5ten sam vendor

Directory Traversal vulnerability in dhtmlxFileExplorer v.8.4.6 allows a remote attacker to obtain sensitive i...

CVE-2024-55214MEDIUM6.5ten sam vendor

Local File Inclusion vulnerability in dhtmlxFileExplorer v.8.4.6 allows a remote attacker to obtain sensitive ...

CVE-2013-6281MEDIUM4.3ten sam vendor

Cross-site scripting (XSS) vulnerability in codebase/spreadsheet.php in the Spreadsheet (dhtmlxSpreadsheet) pl...

CVE-2026-41553 — RCE i command injection w PDF Export Module DHTMLX (Gantt/Scheduler) — CRITICAL 10.0 | CVEbaza.pl