PT-2024-17707 · Classcms · Classcms
Vulbox
·
Publicado
2024-12-16
·
Atualizado
2024-12-19
·
CVE-2024-12666
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ClassCMS até a 4.8
Descrição
Foi identificada uma falha crítica no componente da Página de Gerenciamento de Usuários, afetando especificamente uma funcionalidade desconhecida do arquivo “/admin?do=admin:user:editPost”. Essa falha leva a um tratamento inadequado de privilégios insuficientes, permitindo ataques remotos. A exploração da falha já foi divulgada publicamente e pode ser utilizada.
Recomendações
Para versões do ClassCMS até a 4.8, como solução temporária, considere restringir o acesso ao endpoint “/admin?do=admin:user:editPost” até que uma correção esteja disponível. Além disso, revise e restrinja os privilégios para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Classcms