PT-2024-31269 · Zzcms · Zzcms
Publicado
2024-09-04
·
Atualizado
2024-09-05
·
CVE-2024-44821
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
ZZCMS 2023
Descrição
O problema está relacionado à lógica de reutilização do captcha no ZZCMS 2023, especificamente no arquivo /inc/function.php. A função
checkyzm não atualiza corretamente o valor do captcha após uma tentativa de validação malsucedida. Isso permite que um invasor explore a falha enviando repetidamente a mesma resposta incorreta do captcha, capturando o valor correto do captcha por meio de mensagens de erro.Recomendações
Para o ZZCMS 2023, como solução temporária, considere desativar a função
checkyzm até que um patch esteja disponível. Restrinja o acesso ao arquivo /inc/function.php para minimizar o risco de exploração. Evite usar o recurso de captcha na versão afetada do ZZCMS até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zzcms