CRITICAL🇬🇧 English

CVE-2024-48237

WTCMS 1.0 — błędna kontrola dostępu w HomebaseController

CVSS 9.8v3.1pub. 2024-10-25upd. 2025-04-17

WTCMS 1.0 zawiera podatność nieprawidłowej kontroli dostępu (Incorrect Access Control) w pliku HomebaseController.class.php. Błąd otrzymał ocenę krytyczną CVSS 9.8, co oznacza możliwość przejęcia kontroli nad systemem bez uwierzytelnienia.

Pokaż oryginał (EN)

WTCMS 1.0 is vulnerable to Incorrect Access Control in \Common\Controller\HomebaseController.class.php.

🤖 Analiza AI
Jak działa

Podatność wynika z niepoprawnej implementacji mechanizmu kontroli dostępu w kontrolerze HomebaseController.class.php, należącym do modułu Common aplikacji WTCMS. Zgodnie z klasyfikacją CWE-863 (Incorrect Authorization), system nie weryfikuje prawidłowo uprawnień żądającego, co pozwala nieuwierzytelnionemu atakującemu na wykonywanie operacji zastrzeżonych dla uprawnionych użytkowników. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów aplikacji, potencjalnie prowadząc do ujawnienia poufnych danych, modyfikacji treści lub przejęcia kontroli nad systemem (pełny wpływ na poufność, integralność i dostępność zgodnie z wektorem CVSS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie zgłoszenia błędu pod adresem https://github.com/taosir/wtcms/issues/15 oraz ograniczenie dostępu do aplikacji na poziomie firewall do czasu wydania poprawki.

Kogo dotyczy

WTCMS w wersji 1.0 (Wtcms Project Wtcms)

Uwagi

Podatność została zgłoszona w repozytorium GitHub projektu WTCMS (issue #15). Projekt wydaje się mieć ograniczone wsparcie — należy zweryfikować, czy producent aktywnie wydaje poprawki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Wtcms Project Wtcms

    APP
    Wtcms Project
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2019-8908CRITICAL9.8ten sam produkt

An issue was discovered in WTCMS 1.0. It allows remote attackers to execute arbitrary PHP code by going to the...

CVE-2019-8910HIGH8.8ten sam produkt

An issue was discovered in WTCMS 1.0. It allows index.php?g=admin&m=setting&a=site_post CSRF.

CVE-2019-8909HIGH7.5ten sam produkt

An issue was discovered in WTCMS 1.0. It allows remote attackers to cause a denial of service (resource consum...

CVE-2018-10267HIGH8.8ten sam produkt

WTCMS 1.0 has a CSRF vulnerability to add an administrator account via the index.php?admin&m=user&a=add_post U...

CVE-2025-13782MEDIUM5.5ten sam produkt

A vulnerability was identified in taosir WTCMS up to 01a5f68a3dfc2fdddb44eed967bb2d4f60487665. Affected by thi...