W SeaCMS w wersji 13.3 odkryto podatność typu SQL injection w komponencie admin_comment_news.php. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) i może być wykorzystana zdalnie bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
SeaCMS v13.3 was discovered to contain a SQL injection vulnerability via the component admin_comment_news.php.
Podatność polega na braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do komponentu admin_comment_news.php. Atakujący może wstrzyknąć złośliwy kod SQL do zapytań kierowanych do bazy danych aplikacji. Ze względu na wektor sieciowy (AV:N), brak wymagania uwierzytelnienia (PR:N) oraz brak interakcji użytkownika (UI:N), exploit można przeprowadzić w pełni zdalnie.
Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w sprzyjających warunkach przejąć pełną kontrolę nad systemem backendowym — co odpowiada wysokiemu wpływowi na poufność, integralność i dostępność (C:H/I:H/A:H).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do panelu administracyjnego (w tym do admin_comment_news.php) wyłącznie do zaufanych adresów IP na poziomie firewall lub serwera WWW.
SeaCMS w wersji 13.3
Szczegółowy opis techniczny podatności dostępny jest w referencjach opublikowanych na platformie GitHub przez badacza: https://github.com/202110420106/CVE/blob/master/seacms/seacms_comment_news_sql.md
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSeacms
APPSeacms13.3
Powiązane podatności
RCE w SeaCMS v13.3 przez komponent phomebak.php
SQL injection w SeaCMS v13.3 — komponent admin_topic.php
SQL injection w SeaCMS v13.3 — komponent admin_manager.php
SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php
SQL Injection w SeaCMS — podatny plik admin_pay.php