PT-2021-10475 · Cmswing · Cmswing
Jiguangsdf
·
Publicado
2021-02-01
·
Atualizado
2021-02-02
·
CVE-2020-20295
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
CMSWing versão 1.3.8
Descrição:
Foi identificada uma falha no projeto CMSWing em que a função
updateAction não verifica o parâmetro detail, permitindo que parâmetros maliciosos executem comandos SQL arbitrários.Recomendações:
Para o CMSWing versão 1.3.8, considere desativar a função
updateAction até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao parâmetro detail na função afetada para minimizar o risco de execução de comandos SQL arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cmswing