PT-2021-10393 · Unknown · Thinkphp-Zcms
Echox1O
·
Publicado
2021-08-26
·
Atualizado
2021-09-01
·
CVE-2020-19705
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
thinkphp-zcms a partir de 20190715
Descrição:
A vulnerabilidade permite a injeção de SQL por meio do endpoint da API “index.php?m=home&c=message&a=add”. Isso pode levar ao acesso não autorizado a dados confidenciais.
Recomendações:
Para o thinkphp-zcms a partir de 20190715, evite usar o endpoint “index.php?m=home&c=message&a=add” até que o problema seja resolvido. Como solução temporária, considere restringir o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Thinkphp-Zcms