PT-2024-31522 · Skysystem · Arfa-Cms
Kirill Kalimmulin
·
Publicado
2024-08-26
·
Atualizado
2024-09-05
·
CVE-2024-45265
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SkySystem Arfa-CMS anteriores à 5.1.3124
Descrição
Uma vulnerabilidade de injeção de SQL no componente de enquetes permite que invasores remotos executem comandos SQL arbitrários por meio do parâmetro
psid. Isso permite que os invasores manipulem consultas ao banco de dados, o que pode levar ao acesso ou à modificação não autorizada de dados.Recomendações
Para versões anteriores à 5.1.3124, atualize para a versão 5.1.3124 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao componente de enquete até que um patch seja aplicado.
Evite usar o parâmetro
psid nos componentes afetados até que o problema seja resolvido.Exploit
Correção
XSS
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Arfa-Cms