PT-2018-15147 · Thinkcmf · Thinkcmf

Sowishop

Publicado

2018-12-06

Atualizado

2018-12-26

CVE-2018-19895

CVSS v3.1

7.2

Alta

Vetor

AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Name of the Vulnerable Software and Affected Versions ThinkCMF version X2.2.2

Description The issue is related to SQL Injection via the edit post() function in NavController.class.php. It can be exploited with manager privilege using the parentid parameter in a "nav" action.

Recommendations For ThinkCMF version X2.2.2, consider disabling the edit post() function in NavController.class.php until a patch is available to prevent exploitation via the parentid parameter. Restrict access to the "nav" action to minimize the risk of SQL Injection.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2018-19895

Produtos afetados

Thinkcmf

PT-2018-15147 · Thinkcmf · Thinkcmf

CVE-2018-19895

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3