PT-2021-22851 · Zzcms · Zzcms

Publicado

2021-12-09

Atualizado

2021-12-13

CVE-2021-40280

CVSS v3.1

7.2

Alta

Vetor

AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

zzcms versões 8.2 a 8.3, 2020, 2021

Descrição

A vulnerabilidade está relacionada a um problema de injeção de SQL. Ela ocorre por meio do parâmetro id no endpoint “admin/dl sendmail.php”.

Recomendações

Para as versões 8.2, 8.3, 2020 e 2021, considere restringir o acesso ao endpoint “admin/dl sendmail.php” até que um patch esteja disponível.

Como solução temporária, evite usar o parâmetro id no endpoint afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

CVE-2021-40280

Zzcms