PT-2024-38951 · Sourcecodester · Sourcecodester Music Gallery Site

Liuhaobin

Publicado

2024-08-30

Atualizado

2024-09-04

CVE-2024-8336

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas:

Site SourceCodester Music Gallery, versão 1.0

Descrição:

Foi identificada uma falha crítica no arquivo /php-music/classes/Master.php?f=delete music, na qual a manipulação do argumento id leva a uma injeção de SQL. Essa falha pode ser explorada remotamente. O código de exploração já foi divulgado publicamente e pode estar em uso.

Recomendações:

Para a versão 1.0, considere restringir o acesso ao arquivo /php-music/classes/Master.php?f=delete music para minimizar o risco de exploração. Como solução temporária, evite usar o argumento id no arquivo afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2024-8336

Produtos afetados

Sourcecodester Music Gallery Site

PT-2024-38951 · Sourcecodester · Sourcecodester Music Gallery Site

CVE-2024-8336

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10