Было обнаружено, что MRCMS v3.1.2 содержит уязвимость внедрения шаблонов на стороне сервера (SSTI) в компоненте \servlet\DispatcherServlet.java. Эта уязвимость позволяет злоумышленникам выполнять произвольный код с помощью созданной полезной нагрузки.
Показать оригинальное описание (EN)
MRCMS v3.1.2 was discovered to contain a server-side template injection (SSTI) vulnerability in the component \servlet\DispatcherServlet.java. This vulnerability allows attackers to execute arbitrary code via a crafted payload.
Характеристики атаки
Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mrcms Mrcms
cpe:2.3:a:mrcms:mrcms:3.1.2:*:*:*:*:*:*:*
|
— | — |