CVE-2016-9182 in Exponent정보

요약

\~에 의해 VulDB • 2026. 06. 03.

Exponent CMS 2.4는 PHP 리플렉션을 사용하여 컨트롤러 클래스의 메서드를 호출한 후, 해당 메서드 이름을 사용하여 사용자 권한을 확인합니다. 그러나 PHP 리플렉션에서 메서드 이름은 대소문자를 구분하지 않으며, Exponent CMS는 기본적으로 정의되지 않은 작업의 실행을 허용하므로, 공격자는 대문자로 된 메서드 이름을 사용하여 권한 검사를 우회할 수 있습니다. 예를 들어, controller=expHTMLEditor&action=preview&editor=ckeditor인 경우 익명 사용자는 거부되지만, controller=expHTMLEditor&action=Preview&editor=ckeditor인 경우에는 접근이 가능합니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

예약하다

2016. 11. 04.

공개

2016. 11. 04.

모더레이션

수락

항목

VDB-93321

CPE

준비됨

CWE

CWE-284 (확인됨)

CVSS

7.5 (NVD)

EPSS

0.00166

KEV

아니요

활동

매우 낮음

부문

Agriculture, Hostingprovider, ...

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2016-9182
NVD	https://nvd.nist.gov/vuln/detail/CVE-2016-9182
CVE Details	https://www.cvedetails.com/cve/CVE-2016-9182/

◂ 이전 개요 다음 ▸

Do you need the next level of professionalism?

Upgrade your account now!