Было обнаружено, что JizhiCMS v2.5.4 содержит подделку запросов на стороне сервера (SSRF) через компонент \c\PluginsController.php. Эта уязвимость позволяет злоумышленникам выполнить сканирование интрасети с помощью специально созданного запроса.
Показать оригинальное описание (EN)
JizhiCMS v2.5.4 was discovered to contain a Server-Side Request Forgery (SSRF) via the component \c\PluginsController.php. This vulnerability allows attackers to perform an intranet scan via a crafted request.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Jizhicms Jizhicms
cpe:2.3:a:jizhicms:jizhicms:2.5.4:*:*:*:*:*:*:*
|
— | — |