Opis podatności
CERT Polska w ramach badań własnych znalazł trzy podatności w oprogramowaniu Concept Intermedia S@M CMS i koordynował proces ujawniania informacji.
Podatności CVE-2024-3800 oraz CVE-2024-3801 umożliwiają nieautoryzowanemu użytkownikowi wykonanie ataków typu Reflected Cross-Site Scripting (XSS) wykorzystując strony zarządzane przez S@M CMS poprzez zagnieżdżanie skryptów w różnych miejscach. Są to kolejno: nazwy plików, do których dostępy się żąda, oraz jeden z parametrów zapytań GET.
Z kolei podatność CVE-2024-3816 pozwala na wykonywanie ataków Blind SQL Injection odpowiednio manipulując frazy wpisywane w wyszukiwarkę.
Podatności dotyczą wszystkich wersji systemu do 3.3 włącznie. Producent nie dostarczył zespołowi szczegółów dot. powyższych podatności. Nie wszystkie serwisy, które korzystają z tego oprogramowania, posiadają wspomniane podatności. Możliwe więc, iż problem dotyczy jedynie niektórych modułów lub też jest zależny od konfiguracji.