Vulnerabilities ›

CVE-2026-10072

High

CWE-434 — Weakness Type

                    Published: May 29, 2026                      ·  Modified: Jun 5, 2026                      ·  Source: NVD                

CVSS v3

7.2

🔗 NVD Official

📄 Description (English)

DreamMaker developed by Interinfo has an Arbitrary File Upload vulnerability, allowing privileged remote attackers to upload and execute web shell backdoors, thereby enabling arbitrary code execution on the server.

🤖 AI Executive Summary

DreamMaker by Interinfo contains an arbitrary file upload vulnerability that allows privileged remote attackers to upload and execute web shells, leading to arbitrary code execution on affected servers. This vulnerability poses a significant risk to organizations using this software for critical operations.

📄 Description (Arabic)

يسمح هذا الضعف للمهاجمين الممتلكين لصلاحيات بتحميل ملفات تعسفية على خادم DreamMaker، بما في ذلك أصداف ويب خبيثة. يمكن للمهاجمين بعد ذلك تنفيذ هذه الملفات للحصول على تحكم كامل بالخادم وتنفيذ أوامر تعسفية. هذا يشكل تهديداً حرجاً للمنظمات التي تعتمد على DreamMaker في عملياتها الحساسة.

🤖 ملخص تنفيذي (AI)

تطبيق DreamMaker من Interinfo يحتوي على ثغرة تحميل ملفات تعسفية تسمح للمهاجمين البعيدين الممتلكين لصلاحيات بتحميل وتنفيذ أصداف ويب، مما يؤدي إلى تنفيذ أكواد تعسفية على الخوادم المتأثرة.

🤖 AI Intelligence Analysis Analyzed: Jun 3, 2026 12:20

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1190 T1505 T1505.003 T1571

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update DreamMaker to the latest patched version from Interinfo. Implement strict file upload validation including file type verification, size restrictions, and storage outside web root. Apply principle of least privilege to limit user upload capabilities. Monitor file uploads and server execution logs for suspicious activity. Deploy Web Application Firewall (WAF) rules to detect and block malicious uploads.

🔧 خطوات المعالجة (العربية)

قم بتحديث DreamMaker فوراً إلى أحدث نسخة مصححة من Interinfo. طبق التحقق الصارم من تحميل الملفات بما في ذلك التحقق من نوع الملف وقيود الحجم وتخزين الملفات خارج جذر الويب. طبق مبدأ أقل صلاحية لتقييد قدرات تحميل المستخدمين. راقب سجلات تحميل الملفات وتنفيذ الخادم للنشاط المريب. نشر قواعد جدار حماية تطبيقات الويب للكشف عن التحميلات الضارة وحجبها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.12.2.1 A.14.2.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.PT-1

🟡 ISO 27001:2022

A.6.1.1 A.9.2.1 A.12.2.1 A.14.2.1

🔗 References & Sources 2

🔗

https://www.twcert.org.tw/en/cp-139-10946-1127f-2.html

twcert@cert.org.tw

🔗

https://www.twcert.org.tw/tw/cp-132-10943-8fb00-1.html

twcert@cert.org.tw

📊 CVSS Score

7.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.2

CWECWE-434

EPSS0.21%

Exploit No

Patch ✗ No

Published 2026-05-29

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-434

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-10072

Introduce Yourself

Sign In Required