PT-2024-25782 · Eyoucms · Eyoucms
V2Ish1Yan
·
Publicado
2024-04-07
·
Atualizado
2025-06-05
·
CVE-2024-3431
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EyouCMS versão 1.6.5
Descrição
Uma vulnerabilidade crítica afeta o componente Backend do EyouCMS, especificamente o arquivo /login.php?m=admin&c=Field&a=channel edit. A manipulação do argumento
channel id leva à deserialização. Essa vulnerabilidade pode ser explorada remotamente. A exploração foi divulgada publicamente, e o fornecedor foi contatado, mas não respondeu.Recomendações
Para o EyouCMS versão 1.6.5, como solução temporária, considere restringir o acesso ao endpoint /login.php?m=admin&c=Field&a=channel edit até que um patch esteja disponível. Evite manipular o argumento
channel id neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eyoucms