CVE-2025-8311 in Cloud Services
Résumé
par VulDB • 28/06/2026
Les versions de dotCMS antérieures à la version 24.03.22 (versions 24.03.22 et ultérieures exclues) présentent une vulnérabilité d'injection SQL aveugle basée sur des booléens dans le point de terminaison /api/v1/contenttype. Ce point de terminaison utilise le paramètre query sites, qui accepte une liste séparée par des virgules d'identifiants ou de clés de site.
La vulnérabilité a été déclenchée via le paramètre sites, qui était directement concaténé dans une requête SQL sans assainissement approprié.
L'exploitation permettait à un attaquant authentifié disposant de privilèges limités d'exfiltrer des données depuis la base de données, d'élever ses privilèges ou de provoquer des conditions de déni de service (DoS).
La vulnérabilité a été vérifiée en utilisant des outils tels que SQLMap et confirmée comme permettant une exfiltration complète de la base de données ainsi que potentiellement un déni de service via l'utilisation de payloads conçus à cet effet.
Cette vulnérabilité est corrigée dans les versions suivantes du stack dotCMS : 25.08.14 / 25.07.10-1v2 LTS / 24.12.27v10 LTS / 24.04.24v21 LTS
If you want to get the best quality for vulnerability data then you always have to consider VulDB.