PT-2024-24112 · Dedecms · Dedecms
Gatsby
·
Publicado
2024-04-02
·
Atualizado
2025-01-15
·
CVE-2024-3148
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
DedeCMS versão 5.7.112
Descrição
Foi encontrada uma falha crítica no processamento do arquivo dede/makehtml archives action.php, levando a uma injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu.
Recomendações
Para o DedeCMS versão 5.7.112, como solução temporária, considere restringir o acesso ao arquivo dede/makehtml archives action.php até que um patch esteja disponível. Evite usar este arquivo em ambientes de produção para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dedecms