Vulnerabilidad en lmxcms (CVE-2023-5017)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

17/09/2023

Última modificación:

05/06/2024

Descripción

Se encontró una vulnerabilidad en lmxcms hasta 1.41. Ha sido calificado como crítico. Una función desconocida del archivo admin.php es afectada por esta vulnerabilidad. La manipulación del argumento lid conduce a la inyección de SQL. VDB-239858 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente al proveedor sobre esta divulgación, pero no respondió de ninguna manera.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:A/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.20 MEDIA
Vector: AV:A/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico