CRITICAL🇬🇧 English

CVE-2025-29647

SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php

CVSS 9.8v3.1pub. 2025-04-03upd. 2025-04-08

SeaCMS v13.3 zawiera podatność typu SQL injection w komponencie admin_tempvideo.php, umożliwiającą atakującemu nieautoryzowaną manipulację bazą danych. Ze względu na brak wymagań co do uwierzytelnienia i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla instalacji SeaCMS.

Pokaż oryginał (EN)

SeaCMS v13.3 has a SQL injection vulnerability in the component admin_tempvideo.php.

🤖 Analiza AI
Jak działa

Podatność polega na niewystarczającej walidacji i sanityzacji danych wejściowych dostarczanych przez użytkownika do komponentu admin_tempvideo.php w SeaCMS v13.3. Atakujący może wstrzyknąć złośliwy kod SQL do zapytań kierowanych do bazy danych, co pozwala na ich niezamierzone wykonanie. Atak jest możliwy zdalnie, bez uwierzytelnienia, przez sieć (AV:N, PR:N), co znacznie zwiększa poziom ryzyka.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, zmodyfikować lub usunąć zawartość bazy danych, a w sprzyjających warunkach przejąć pełną kontrolę nad aplikacją i systemem bazodanowym. Podatność zagraża poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia łatki zaleca się ograniczenie dostępu do panelu administracyjnego SeaCMS poprzez firewall lub kontrolę dostępu na poziomie sieci.

Kogo dotyczy

SeaCMS w wersji 13.3 (komponent admin_tempvideo.php)

Uwagi

Dostępny jest publiczny proof-of-concept (PoC) opublikowany w repozytorium Gitee pod adresem wskazanym w referencjach, co zwiększa ryzyko wykorzystania podatności przez nieuprawnione osoby.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Seacms

    APP
    Seacms
    13.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-44073CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php

CVE-2025-44074CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_topic.php

CVE-2025-44071CRITICAL9.8PL ✓ten sam produkt

RCE w SeaCMS v13.3 przez komponent phomebak.php

CVE-2025-44072CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_manager.php

CVE-2025-25520CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SeaCMS — podatny plik admin_pay.php

CVE-2025-29647 — SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php — CRITICAL 9.8 | CVEbaza.pl