CVE-2024-8523

Nome do software vulnerável e versões afetadas:

Versões do lmxcms até a 1.4

Descrição:

Foi identificada uma falha crítica na função formatData do arquivo /admin.php?m=Acquisi&a=testcj&lid=1, que faz parte do Módulo de Execução de Comandos SQL. A manipulação do argumento data leva à injeção de código. Essa falha pode ser explorada remotamente. A exploração foi divulgada ao público.

Recomendações:

Para versões do lmxcms até a 1.4, como solução temporária, considere desativar a função formatData até que um patch esteja disponível. Restrinja o acesso ao endpoint /admin.php?m=Acquisi&a=testcj&lid=1 para minimizar o risco de exploração. Evite usar o argumento data no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.