PT-2024-38842 · Unknown · Continew Admin
Chiexf
·
Publicado
2024-08-25
·
Atualizado
2024-09-12
·
CVE-2024-8155
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:L/Au:M/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas:
ContiNew Admin versão 3.2.0
Descrição:
Foi encontrada uma vulnerabilidade crítica no ContiNew Admin, afetando a função
top.continew.starter.extension.crud.controller.BaseController#tree do arquivo “/api/system/dept/tree?sort=parentId%2Casc&sort=sort%2Casc”. A manipulação do argumento sort leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso.Recomendações:
Para o ContiNew Admin versão 3.2.0, atualize para a versão 3.2.1 imediatamente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao endpoint da API vulnerável “/api/system/dept/tree” até que o problema seja resolvido. Evite usar o argumento
sort no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Continew Admin