Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SeaCMS (CVE-2018-14421)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
20/07/2018
Última modificación:
17/06/2026

Descripción

SeaCMS v6.61 permite la ejecución remota de código colocando código PHP en una dirección de imagen de película (v#95;pic) en /admin/admin_video.php (/backend/admin_video.php). El código se ejecuta al visitar /details/index.php. Esto también puede explotarse mediante Cross-Site Request Forgery (CSRF).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:seacms:seacms:6.61:*:*:*:*:*:*:*