CVE-2025-8311 in Cloud Servicesinformation

Résumé

par VulDB • 28/06/2026

Les versions de dotCMS antérieures à la version 24.03.22 (versions 24.03.22 et ultérieures exclues) présentent une vulnérabilité d'injection SQL aveugle basée sur des booléens dans le point de terminaison /api/v1/contenttype. Ce point de terminaison utilise le paramètre query sites, qui accepte une liste séparée par des virgules d'identifiants ou de clés de site.

La vulnérabilité a été déclenchée via le paramètre sites, qui était directement concaténé dans une requête SQL sans assainissement approprié.

L'exploitation permettait à un attaquant authentifié disposant de privilèges limités d'exfiltrer des données depuis la base de données, d'élever ses privilèges ou de provoquer des conditions de déni de service (DoS).

La vulnérabilité a été vérifiée en utilisant des outils tels que SQLMap et confirmée comme permettant une exfiltration complète de la base de données ainsi que potentiellement un déni de service via l'utilisation de payloads conçus à cet effet.

Cette vulnérabilité est corrigée dans les versions suivantes du stack dotCMS : 25.08.14 / 25.07.10-1v2 LTS / 24.12.27v10 LTS / 24.04.24v21 LTS

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

dotCMS

Réserver

29/07/2025

Divulgation

04/09/2025

Modérer

accepté

Entrée

VDB-322590

CPE

prêt

Exploitation

Télécharger

EPSS

0.01558

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!