PT-2024-16774 · Unknown · Lingdang Crm
Mstir
+1
·
Publicado
2024-11-12
·
Atualizado
2024-11-12
·
CVE-2024-11121
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Lingdang CRM até a 8.6.4.3
Descrição
Foi encontrada uma falha crítica no software, afetando uma funcionalidade desconhecida do arquivo /crm/WeiXinApp/marketing/index.php?module=Users&action=getActionList. A manipulação do argumento
userid leva à injeção de SQL. Esta falha pode ser explorada remotamente.Recomendações
Para versões até 8.6.4.3, como solução temporária, considere restringir o acesso ao endpoint /crm/WeiXinApp/marketing/index.php, especificamente à ação
getActionList, para minimizar o risco de exploração. Evite usar o argumento userid no endpoint afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.Exploit
Correção
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lingdang Crm