PT-2025-50759 · Csz Cms · Csz Cms
Abdulaziz Almetairy
·
Publicado
2025-12-11
·
Atualizado
2025-12-12
·
CVE-2024-58307
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
CSZCMS versão 1.3.0
Descrição
O software contém uma vulnerabilidade de injeção de SQL autenticada na funcionalidade de visualização de membros. Atacantes autenticados podem manipular consultas ao banco de dados injetando código SQL malicioso através do parâmetro
view. Isso permite ataques de injeção de SQL cega baseada em tempo, potencialmente levando à extração de informações do banco de dados. O endpoint da API afetado é o endpoint de visualização de membros.Recomendações
Aplique uma correção para a versão 1.3.0 do CSZCMS para resolver o problema de injeção de SQL. Como solução temporária, restrinja o acesso à funcionalidade de visualização de membros para minimizar o risco de exploração.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Csz Cms