PT-2020-6685 · Fuel Cms · Fuel Cms
Paramvir Jindal
·
Publicado
2020-08-12
·
Atualizado
2025-11-07
·
CVE-2020-17463
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
FUEL CMS versão 1.4.7
Descrição
A vulnerabilidade está relacionada à falta de proteção na estrutura da consulta SQL, permitindo a injeção de SQL. Isso pode ser explorado por meio do parâmetro
col em pontos de extremidade da API, como “/pages/items”, “/permissions/items” ou “/navigation/items”. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a confidencialidade, a integridade e a disponibilidade de informações protegidas.Recomendações
Para o FUEL CMS versão 1.4.7, como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis “/pages/items”, “/permissions/items” e “/navigation/items” para minimizar o risco de exploração. Evite usar o parâmetro
col nesses pontos de extremidade até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fuel Cms