PT-2024-37639 · Litemall · Litemall
Tmac
·
Publicado
2024-07-02
·
Atualizado
2024-07-03
·
CVE-2024-6452
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do litemall até a 1.8.0
Descrição
Foi identificada uma falha crítica no arquivo AdminGoodscontroller.java, na qual a manipulação dos argumentos
goodsId, goodsSn e name leva a uma injeção de SQL. Essa falha pode ser explorada remotamente.Recomendações
Para versões até 1.8.0, atualize para uma versão que corrija esta falha para evitar ataques de injeção de SQL. Como solução temporária, considere restringir o acesso ao arquivo
AdminGoodscontroller.java ou validar as entradas do usuário para os argumentos goodsId, goodsSn e name, a fim de minimizar o risco de exploração.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Litemall