Podatności w oprogramowaniu Concept Intermedia S@M CMS

cert.pl 5 miesięcy temu

Opis podatności

CERT Polska w ramach badań własnych znalazł trzy podatności w oprogramowaniu Concept Intermedia S@M CMS i koordynował proces ujawniania informacji.

Podatności CVE-2024-3800 oraz CVE-2024-3801 umożliwiają nieautoryzowanemu użytkownikowi wykonanie ataków typu Reflected Cross-Site Scripting (XSS) wykorzystując strony zarządzane przez S@M CMS poprzez zagnieżdżanie skryptów w różnych miejscach. Są to kolejno: nazwy plików, do których dostępy się żąda, oraz jeden z parametrów zapytań GET.

Z kolei podatność CVE-2024-3816 pozwala na wykonywanie ataków Blind SQL Injection odpowiednio manipulując frazy wpisywane w wyszukiwarkę.

Podatności dotyczą wszystkich wersji systemu do 3.3 włącznie. Producent nie dostarczył zespołowi szczegółów dot. powyższych podatności. Nie wszystkie serwisy, które korzystają z tego oprogramowania, posiadają wspomniane podatności. Możliwe więc, iż problem dotyczy jedynie niektórych modułów lub też jest zależny od konfiguracji.

Idź do oryginalnego materiału