PT-2024-17558 · Jfinalcms · Jfinalcms
Hadagaga
+1
·
Publicado
2024-12-08
·
Atualizado
2024-12-11
·
CVE-2024-12349
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
JFinalCMS versão 1.0
Descrição
O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no arquivo /admin/tag/save do sistema JFinalCMS. Essa vulnerabilidade pode ser explorada remotamente, permitindo que um invasor execute um ataque CSRF. A exploração foi divulgada ao público e pode estar em uso.
Recomendações
Para o JFinalCMS versão 1.0, como solução temporária, considere desativar o acesso ao arquivo /admin/tag/save até que um patch esteja disponível. Restrinja o acesso ao painel administrativo para minimizar o risco de exploração. Evite usar a funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authorization
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jfinalcms