PT-2022-24240 · Silverstripe · Silverstripe/Framework
Tf1T
·
Publicado
2022-11-21
·
Atualizado
2022-11-22
·
CVE-2022-38148
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Silverstripe silverstripe/framework até a versão 4.11
Descrição
A vulnerabilidade permite a injeção de SQL, que pode ser explorada por um invasor com acesso ao CMS para executar instruções SQL arbitrárias. Isso é feito através da inserção de uma carga SQL em determinadas partes do estado do GridField. A grande maioria dos GridFields no CMS Silverstripe está afetada.
Recomendações
Para versões até a 4.11, considere restringir o acesso ao estado do GridField para minimizar o risco de exploração até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silverstripe/Framework