ZhiCms até 4.0 giftcontroller.php mylike direitos alargados

EntradaHistóriajsonxmlCTI

Uma vulnerabilidade foi encontrada em ZhiCms até 4.0. Foi declarada como crítico. Afectado é uma função desconhecida do ficheiro app/plug/controller/giftcontroller.php. A manipulação do argumento mylike com uma entrada desconhecida leva a direitos alargados. A definição de CWE para a vulnerabilidade é CWE-502. O aconselhamento é partilhado para download em note.zhaoj.in. A vulnerabilidade é identificada como CVE-2024-0603. O ataque pode ser iniciado a partir da rede. Os detalhes técnicos estão disponíveis. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. É declarado como proof-of-concept. A exploração é partilhada para download em note.zhaoj.in. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k.

Campo	16/01/2024 16h46	06/02/2024 09h14	06/02/2024 09h18
name	ZhiCms	ZhiCms	ZhiCms
version	<=4.0	<=4.0	<=4.0
file	app/plug/controller/giftcontroller.php	app/plug/controller/giftcontroller.php	app/plug/controller/giftcontroller.php
argument	mylike	mylike	mylike
cwe	502 (direitos alargados)	502 (direitos alargados)	502 (direitos alargados)
risk	2	2	2
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_pr	N	N	N
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rc	R	R	R
url	https://note.zhaoj.in/share/n3QsNbORUR0e	https://note.zhaoj.in/share/n3QsNbORUR0e	https://note.zhaoj.in/share/n3QsNbORUR0e
availability	1	1	1
publicity	1	1	1
url	https://note.zhaoj.in/share/n3QsNbORUR0e	https://note.zhaoj.in/share/n3QsNbORUR0e	https://note.zhaoj.in/share/n3QsNbORUR0e
cve	CVE-2024-0603	CVE-2024-0603	CVE-2024-0603
responsible	VulDB	VulDB	VulDB
date	1705359600 (16/01/2024)	1705359600 (16/01/2024)	1705359600 (16/01/2024)
type	Content Management System	Content Management System	Content Management System
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	L	L	L
cvss2_vuldb_au	N	N	N
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rc	UR	UR	UR
cvss2_vuldb_rl	ND	ND	ND
cvss3_vuldb_rl	X	X	X
cvss2_vuldb_basescore	7.5	7.5	7.5
cvss2_vuldb_tempscore	6.4	6.4	6.4
cvss3_vuldb_basescore	7.3	7.3	7.3
cvss3_vuldb_tempscore	6.6	6.6	6.6
cvss3_meta_basescore	7.3	7.3	8.1
cvss3_meta_tempscore	6.6	6.6	7.9
price_0day	$0-$5k	$0-$5k	$0-$5k
cve_assigned		1705359600 (16/01/2024)	1705359600 (16/01/2024)
cve_nvd_summary		A vulnerability classified as critical has been found in ZhiCms up to 4.0. This affects an unknown part of the file app/plug/controller/giftcontroller.php. The manipulation of the argument mylike leads to deserialization. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-250839.	A vulnerability classified as critical has been found in ZhiCms up to 4.0. This affects an unknown part of the file app/plug/controller/giftcontroller.php. The manipulation of the argument mylike leads to deserialization. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-250839.
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			N
cvss3_nvd_s			U
cvss3_nvd_c			H
cvss3_nvd_i			H
cvss3_nvd_a			H
cvss2_nvd_av			N
cvss2_nvd_ac			L
cvss2_nvd_au			N
cvss2_nvd_ci			P
cvss2_nvd_ii			P
cvss2_nvd_ai			P
cvss3_cna_av			N
cvss3_cna_ac			L
cvss3_cna_pr			N
cvss3_cna_ui			N
cvss3_cna_s			U
cvss3_cna_c			L
cvss3_cna_i			L
cvss3_cna_a			L
cve_cna			VulDB
cvss2_nvd_basescore			7.5
cvss3_nvd_basescore			9.8
cvss3_cna_basescore			7.3

◂ Voltar Visão Geral Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!