PT-2020-6753 · Unknown · Webexcels Ecommerce Cms
Thelastvvv
·
Publicado
2020-08-13
·
Atualizado
2020-08-31
·
CVE-2020-23976
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Webexcels Ecommerce CMS versões 2.x, 2017, 2018, 2019, 2020
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL por meio do parâmetro
id no script content.php. Essa vulnerabilidade se deve à falta de medidas de proteção para a estrutura da consulta SQL. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize um ataque de script entre sites (XSS).Recomendações
Para as versões 2.x, 2017, 2018, 2019 e 2020 do Webexcels Ecommerce CMS, considere desativar o parâmetro
id no script content.php como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao script content.php para minimizar o risco de exploração. Evite usar o parâmetro id no script afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Webexcels Ecommerce Cms