CRITICAL🇬🇧 English

CVE-2025-44074

SQL injection w SeaCMS v13.3 — komponent admin_topic.php

CVSS 9.8v3.1pub. 2025-05-05upd. 2025-05-13

W SeaCMS w wersji 13.3 odkryto podatność SQL injection w komponencie admin_topic.php. Podatność otrzymała ocenę CVSS 9.8 (krytyczna) i umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych.

Pokaż oryginał (EN)

SeaCMS v13.3 was discovered to contain a SQL injection vulnerability via the component admin_topic.php.

🤖 Analiza AI
Jak działa

Podatność SQL injection (CWE-89) polega na niewystarczającym walidowaniu lub filtrowaniu danych wejściowych przekazywanych do komponentu admin_topic.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego przez aplikację, manipulując danymi przekazywanymi do bazy danych. Ze względu na wektor AV:N/AC:L/PR:N/UI:N, atak można przeprowadzić zdalnie, bez uwierzytelnienia i bez interakcji po stronie użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie, a także modyfikować lub usuwać dane oraz potencjalnie przejąć kontrolę nad systemem bazodanowym, co zagraża poufności, integralności i dostępności aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do panelu administracyjnego (admin_topic.php) wyłącznie do zaufanych adresów IP oraz wdrożenie reguł firewall blokujących nieautoryzowany dostęp do zasobów administracyjnych.

Kogo dotyczy

SeaCMS w wersji 13.3

Uwagi

Szczegóły techniczne dotyczące podatności zostały opublikowane w repozytorium GitHub pod adresem wskazanym w referencjach, co zwiększa ryzyko wykorzystania podatności przez osoby trzecie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Seacms

    APP
    Seacms
    13.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-44073CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php

CVE-2025-44071CRITICAL9.8PL ✓ten sam produkt

RCE w SeaCMS v13.3 przez komponent phomebak.php

CVE-2025-44072CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_manager.php

CVE-2025-29647CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php

CVE-2025-25520CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SeaCMS — podatny plik admin_pay.php