Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu DHTMLX
15 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-7182
Data publikacji 15 maja 2026
Producent podatnego oprogramowania DHTMLX
Nazwa podatnego oprogramowania Diagram
Podatne wersje Od 1.0.0 do 1.1.1
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-41552
Data publikacji 15 maja 2026
Producent podatnego oprogramowania DHTMLX
Nazwa podatnego oprogramowania PDF Export Module
Podatne wersje Od 0.3.3 do 0.7.6
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-41553
Data publikacji 15 maja 2026
Producent podatnego oprogramowania DHTMLX
Nazwa podatnego oprogramowania PDF Export Module
Podatne wersje Od 0.3.3 do 0.7.6
Typ podatności (CWE) Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu DHTMLX i koordynował proces ujawniania informacji.

Podatność CVE-2026-7182: Export module w oprogramowaniu Diagram jest podatny na ataki typu Path Traversal w atrybucie src z powodu braku sanityzacji HTML. Nieuwierzytelniony atakujący może stworzyć payload HTML ze wskazaniem plików lokalnych znajdujących się na serwerze i wyświetlić je w wygenerowanym pliku PDF.

Podatność CVE-2026-41552: PDF Export Module, który jest wykorzystywany w produktach DHTMLX Gantt i Scheduler, jest podatny na ataki typu Path Traversal z powodu braku sanityzacji HTML. Nieuwierzytelniony atakujący może stworzyć payload HTML ze wskazaniem plików lokalnych znajdujących się na serwerze i wyświetlić je w wygenerowanym pliku PDF.

Podatność CVE-2026-41553: PDF Export Module, który jest wykorzystywany w produktach DHTMLX Gantt i Scheduler, umożliwia zdalne wykonanie kodu z powodu braku sanityzacji parametru data. Nieuwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript do parametru, którego wartość jest przetwarzana przez Node.js, a następnie wykonywana. Może to doprowadzić do przejęcia kontroli nad serwerem.

Podatność CVE-2026-7182 została naprawiona w wersji 1.1.1 oprogramowania Diagram. Podatności CVE-2026-41552 i CVE-2026-41553 zostały naprawione w wersji 0.7.6 oprogramowania PDF Export Module.

Podziękowania

Za zgłoszenie podatności dziękujemy Łukaszowi Jaworskiemu i Tomaszowi Holeksie z Pentest Limited.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.