PT-2026-37147 · Admidio · Admidio
Adrgs
·
Publicado
2026-04-29
·
Atualizado
2026-05-07
·
CVE-2026-41663
CVSS v3.1
3.5
Baixa
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Admidio versões anteriores a 5.0.9
Descrição
Diversas operações administrativas no módulo de preferências são executadas via requisições GET sem a validação de token CSRF. Isso permite que um invasor force um administrador autenticado a disparar essas ações ao visitar uma página maliciosa, já que cookies
SameSite=Lax são incluídos em navegações GET de nível superior. As operações afetadas estão localizadas no arquivo 'modules/preferences.php' sob os seguintes modos:- 'backup': Dispara um dump completo do banco de dados, o que pode causar pressão de armazenamento e E/S de disco no servidor.
- 'test email': Envia um e-mail de teste a partir do servidor, o que pode ser abusado para spam ou sondagem da infraestrutura de e-mail interna.
- 'htaccess': Sobrescreve o arquivo
.htaccessno servidor, podendo interromper o roteamento de URLs ou desativar cabeçalhos de segurança.
Recomendações
Atualizar para a versão 5.0.9.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Admidio