CRITICAL🇬🇧 English

CVE-2025-44073

SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php

CVSS 9.8v3.1pub. 2025-05-06upd. 2025-06-12

W SeaCMS w wersji 13.3 odkryto podatność typu SQL injection w komponencie admin_comment_news.php. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) i może być wykorzystana zdalnie bez uwierzytelnienia.

Pokaż oryginał (EN)

SeaCMS v13.3 was discovered to contain a SQL injection vulnerability via the component admin_comment_news.php.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do komponentu admin_comment_news.php. Atakujący może wstrzyknąć złośliwy kod SQL do zapytań kierowanych do bazy danych aplikacji. Ze względu na wektor sieciowy (AV:N), brak wymagania uwierzytelnienia (PR:N) oraz brak interakcji użytkownika (UI:N), exploit można przeprowadzić w pełni zdalnie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w sprzyjających warunkach przejąć pełną kontrolę nad systemem backendowym — co odpowiada wysokiemu wpływowi na poufność, integralność i dostępność (C:H/I:H/A:H).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do panelu administracyjnego (w tym do admin_comment_news.php) wyłącznie do zaufanych adresów IP na poziomie firewall lub serwera WWW.

Kogo dotyczy

SeaCMS w wersji 13.3

Uwagi

Szczegółowy opis techniczny podatności dostępny jest w referencjach opublikowanych na platformie GitHub przez badacza: https://github.com/202110420106/CVE/blob/master/seacms/seacms_comment_news_sql.md

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Seacms

    APP
    Seacms
    13.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-44071CRITICAL9.8PL ✓ten sam produkt

RCE w SeaCMS v13.3 przez komponent phomebak.php

CVE-2025-44074CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_topic.php

CVE-2025-44072CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_manager.php

CVE-2025-29647CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php

CVE-2025-25520CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SeaCMS — podatny plik admin_pay.php