CVE-2024-8301

Nome do software vulnerável e versões afetadas:

dingfanzu CMS até 29d67d9044f6f93378e6eb6ff92272217ff7225c

Descrição:

Foi encontrada uma vulnerabilidade crítica no dingfanzu CMS, afetando uma funcionalidade desconhecida do arquivo /ajax/checkin.php. A manipulação do argumento username leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao arquivo /ajax/checkin.php para minimizar o risco de exploração. Evite usar o argumento username no endpoint da API afetado até que o problema seja resolvido.