CRITICAL🇬🇧 English

CVE-2025-44072

SQL injection w SeaCMS v13.3 — komponent admin_manager.php

CVSS 9.8v3.1pub. 2025-05-05upd. 2025-05-13

W SeaCMS w wersji 13.3 wykryto podatność typu SQL injection w komponencie admin_manager.php. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i może umożliwić nieuwierzytelnionemu atakującemu pełne przejęcie kontroli nad bazą danych.

Pokaż oryginał (EN)

SeaCMS v13.3 was discovered to contain a SQL injection vulnerability via the component admin_manager.php.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP do komponentu admin_manager.php, wstrzykując złośliwy kod SQL do zapytania wykonywanego przez aplikację. Brak odpowiedniej walidacji lub parametryzacji danych wejściowych pozwala na manipulację logiką zapytań bazodanowych. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować lub usuwać zawartość bazy danych, a w określonych konfiguracjach serwera potencjalnie wykonać polecenia systemowe — co może prowadzić do pełnego przejęcia serwera.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do panelu administracyjnego (admin_manager.php) wyłącznie do zaufanych adresów IP oraz stosowanie zapory aplikacyjnej (WAF) blokującej próby SQL injection.

Kogo dotyczy

SeaCMS w wersji 13.3

Uwagi

Szczegółowy opis techniczny podatności wraz z dowodem skuteczności (proof-of-concept) został opublikowany w referencjach na platformie GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Seacms

    APP
    Seacms
    13.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-44073CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php

CVE-2025-44074CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_topic.php

CVE-2025-44071CRITICAL9.8PL ✓ten sam produkt

RCE w SeaCMS v13.3 przez komponent phomebak.php

CVE-2025-29647CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php

CVE-2025-25520CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SeaCMS — podatny plik admin_pay.php