Высокий7.1
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H

PT-2024-90: Подделка межсайтовых запросов (CSRF) и уязвимость обхода пути (Path Traversal) в Netcat CMS в модуле filemanager

Тип ошибки:

  • CWE-352: Cross-Site Request Forgery (CSRF)

  • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:H/A:H
  • Уровень критичности уязвимости (CVSSv3.1): 8.1 (high)
  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H
  • Уровень критичности уязвимости (CVSSv4.0): 7.1 (high)

Описание уязвимости: 
В Netcat CMS была выявлена проблема, затрагивающая версию 6.4 Extra.

Уязвимость модуля filemanager CMS-системы Netcat связана с подделкой межсайтовых запросов. Эксплуатация уязвимости возможна для авторизованного пользователя с ролью администратора и приводит к возможности выполнения произвольного JavaScript-кода в браузере атакованного пользователя.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 20.08.2024

Рекомендации:

  • Обновление до версии 7.0 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Алексей Соловьев (Positive Technologies)

Идентификаторы:

BDU:2024-06389

Вендор:

Netcat

Уязвимый продукт:

Netcat CMS

Уязвимые версии:

6.4.0 Extra