CVE-2020-23426

zzcms versão 201910

O problema está relacionado a uma vulnerabilidade de controle de acesso que permite a escalada de privilégios. Essa vulnerabilidade é explorada por meio do endpoint da API “/user/adv.php”, o que permite que um invasor modifique dados. Isso pode potencialmente levar a outros ataques, como o Cross-Site Request Forgery (CSRF). O CSRF é um ataque que induz a vítima a realizar ações indesejadas em um aplicativo web no qual ela está autenticada.

Para a versão 201910 do zzcms, considere restringir o acesso ao endpoint “/user/adv.php” até que uma correção esteja disponível. Como solução temporária, limitar os privilégios dos usuários que interagem com esse endpoint pode ajudar a minimizar o risco de exploração.