Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en IceCMS (CVE-2024-46610)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/09/2024
Última modificación:
30/09/2024

Descripción

Un problema de control de acceso en IceCMS v3.4.7 y anteriores permite a los atacantes modificar arbitrariamente la información de los usuarios, incluido el nombre de usuario y la contraseña, a través de una solicitud POST manipulada enviada al endpoint /User/ChangeUser/s en la función ChangeUser en UserController.java

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:thecosy:icecms:*:*:*:*:*:*:*:* 3.4.7 (incluyendo)