Joby Y Daniel

**Name of the Vulnerable Software and Affected Versions** Acora CMS version 10.1.1 **Description** The issue allows attackers to trick authenticated users into performing unauthorized actions by embedding malicious requests in external content. This is due to the lack of Cross-Site Request Forgery (CSRF) protections, which enables exploitation via crafted requests. Attackers can perform actions such as account deletion or user creation. **Recommendations** For Acora CMS version 10.1.1, consider implementing CSRF protections to prevent exploitation. As a temporary workaround, restrict access to sensitive actions, such as account deletion or user creation, to minimize the risk of unauthorized modifications.

**Nome do Software Vulnerável e Versões Afetadas** DDSN Interactive cm3 Acora CMS versão 10.1.1 **Descrição** O problema refere-se a uma vulnerabilidade de controle de acesso inadequado. Um usuário com privilégios de editor pode acessar informações sensíveis, como credenciais de administrador do sistema, através de navegação forçada no endpoint e exploração do parâmetro `file`. Ao referenciar arquivos específicos (por exemplo, cm3.xml), os atacantes podem contornar os controles de acesso, levando à tomada de conta e possível elevação de privilégios. **Recomendações** Para a versão 10.1.1, considere desativar a capacidade de realizar navegação forçada no endpoint e restringir o uso do parâmetro `file` para prevenir a exploração até que um patch esteja disponível. Restrinja o acesso a arquivos sensíveis, como cm3.xml, para minimizar o risco de tomada de conta e elevação de privilégios.

**Nome do Software Vulnerável e Versões Afetadas** DDSN Interactive cm3 Acora CMS versão 10.1.1 **Descrição** O problema é causado por sanitização e validação de entrada insuficientes no parâmetro `table`, resultando em uma Injeção de SQL Cega baseada em tempo não autenticada. Isso permite que atacantes injetem consultas SQL maliciosas, possibilitando acesso não autorizado, manipulação de dados ou exposição de informações sensíveis. A falha representa riscos significativos à integridade e confidencialidade da aplicação. **Recomendações** Para o DDSN Interactive cm3 Acora CMS versão 10.1.1, considere desativar o parâmetro `table` até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a dados sensíveis e garanta validação e sanitização de entrada adequadas para minimizar o risco de acesso não autorizado ou manipulação de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.