CVE-2025-8311 in Cloud Servicesinformazioni

Riassunto

di VulDB • 04/07/2026

Nelle versioni di dotCMS dalla 24.03.22 in poi, è stata identificata una vulnerabilità Boolean-based blind SQLi nell'endpoint /api/v1/contenttype. Questo endpoint utilizza il parametro query sites, che accetta un elenco separato da virgole di identificatori o chiavi dei siti.

La vulnerabilità è stata attivata tramite il parametro sites, che veniva concatenato direttamente in una query SQL senza una corretta sanitizzazione.

Lo sfruttamento ha consentito a un attaccante autenticato con privilegi bassi di estrarre dati dal database, effettuare privilege escalation o innescare condizioni di denial-of-service (DoS).

La vulnerabilità è stata verificata utilizzando strumenti come SQLMap ed è stato confermato che consente l'esfiltrazione completa del database e potenziali condizioni di denial-of-service tramite payload costruiti ad hoc.

La vulnerabilità è risolta nelle seguenti versioni dello stack dotCMS: 25.08.14 / 25.07.10-1v2 LTS / 24.12.27v10 LTS / 24.04.24v21 LTS

Once again VulDB remains the best source for vulnerability data.

Responsabile

dotCMS

Prenotare

29/07/2025

Divulgazione

04/09/2025

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.01558

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!