W SeaCMS w wersji 13.3 wykryto podatność typu SQL injection w komponencie admin_manager.php. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i może umożliwić nieuwierzytelnionemu atakującemu pełne przejęcie kontroli nad bazą danych.
▸ Pokaż oryginał (EN)
SeaCMS v13.3 was discovered to contain a SQL injection vulnerability via the component admin_manager.php.
Atakujący wysyła spreparowane żądanie HTTP do komponentu admin_manager.php, wstrzykując złośliwy kod SQL do zapytania wykonywanego przez aplikację. Brak odpowiedniej walidacji lub parametryzacji danych wejściowych pozwala na manipulację logiką zapytań bazodanowych. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować lub usuwać zawartość bazy danych, a w określonych konfiguracjach serwera potencjalnie wykonać polecenia systemowe — co może prowadzić do pełnego przejęcia serwera.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do panelu administracyjnego (admin_manager.php) wyłącznie do zaufanych adresów IP oraz stosowanie zapory aplikacyjnej (WAF) blokującej próby SQL injection.
SeaCMS w wersji 13.3
Szczegółowy opis techniczny podatności wraz z dowodem skuteczności (proof-of-concept) został opublikowany w referencjach na platformie GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSeacms
APPSeacms13.3
Powiązane podatności
SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php
SQL injection w SeaCMS v13.3 — komponent admin_topic.php
RCE w SeaCMS v13.3 przez komponent phomebak.php
SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php
SQL Injection w SeaCMS — podatny plik admin_pay.php