PT-2025-37181 · Foxcms · Foxcms
Jhsec.Com
·
Publicado
2025-09-11
·
Atualizado
2025-09-11
·
CVE-2025-10251
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Versões do FoxCMS anteriores à 1.24
Descrição:
Existe uma vulnerabilidade de injeção de SQL no FoxCMS devido à manipulação do argumento
ids dentro da função batchCope localizada no arquivo /app/admin/controller/Images.php. Isso permite a exploração remota. O exploit está disponível publicamente. O fornecedor foi notificado, mas não respondeu.Recomendações:
Como solução temporária, considere restringir o acesso ao arquivo
/app/admin/controller/Images.php para minimizar o risco de exploração.
Evite usar o parâmetro ids na função batchCope até que o problema seja resolvido.Exploit
Correção
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Foxcms