PT-2024-22420 · Semcms · Semcms
Turabiaslan
·
Publicado
2024-03-29
·
Atualizado
2025-04-04
·
CVE-2024-28405
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SEMCMS versão 4.8
Descrição
O problema decorre de um controle de acesso incorreto no código, especificamente porque o arquivo SEMCMS Function.php é carregado antes da verificação da validade do administrador na página de administração. Isso ocorre porque a função de autenticação é chamada a partir da página de administração, permitindo que usuários obtenham privilégios de administrador.
Recomendações
Para a versão 4.8 do SEMCMS, considere restringir temporariamente o acesso à página de administração até que uma correção adequada seja implementada para garantir a autenticação e o controle de acesso corretos. Além disso, revise a função de autenticação para garantir que ela esteja validando adequadamente as credenciais do usuário antes de conceder acesso a áreas confidenciais do aplicativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Semcms