PT-2024-16852 · Zzcms · Zzcms
Nlow6Jrm5Wxb3Rnyzige
·
Publicado
2024-11-15
·
Atualizado
2024-11-18
·
CVE-2024-11242
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ZZCMS versão 2023
Descrição
Uma falha crítica afeta uma funcionalidade desconhecida do arquivo /admin/ad list.php?action=pass do componente Filtragem por Palavra-chave. A manipulação do argumento
keyword leva a uma injeção de SQL. O ataque pode ser lançado remotamente.Recomendações
Para o ZZCMS versão 2023, como solução temporária, considere restringir o acesso ao endpoint /admin/ad list.php?action=pass para minimizar o risco de exploração. Evite usar o argumento
keyword no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zzcms