В SSCMS 7.4.0 обнаружена уязвимость безопасности. Эта уязвимость затрагивает неизвестный код файла SitesAddController.Submit.cs компонента DDL Handler. Манипулирование аргументом tableHandWrite приводит к внедрению sql.
Атака может быть осуществлена удаленно. Эксплойт был опубликован и может быть использован для атак. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A security flaw has been discovered in SSCMS 7.4.0. This vulnerability affects unknown code of the file SitesAddController.Submit.cs of the component DDL Handler. The manipulation of the argument tableHandWrite results in sql injection. The attack can be executed remotely. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0