PT-2024-28895 · Seacms · Seacms
狗And猫
·
Publicado
2024-07-12
·
Atualizado
2024-07-12
·
CVE-2024-40519
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SeaCMS versão 12.9
Descrição
O problema é causado pelo arquivo
admin smtp.php, que insere e grava diretamente os dados inseridos pelo usuário no arquivo weixin.php sem processá-los. Isso permite que invasores autenticados executem comandos arbitrários e obtenham permissões do sistema.Recomendações
Para o SeaCMS versão 12.9, considere restringir o acesso ao arquivo
admin smtp.php e ao weixin.php para minimizar o risco de exploração. Como solução temporária, evite usar o arquivo admin smtp.php até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Seacms