taosir WTCMS até 01a5f68a3dfc2fdddb44eed967bb2d4f60487665 SlideController SlideController.class.php delete ids Injeção SQL
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em taosir WTCMS até 01a5f68a3dfc2fdddb44eed967bb2d4f60487665. Foi declarada como crítico. O impacto ocorre em a função delete no arquivo application/Admin/Controller/SlideController.class.php no componente SlideController. A utilização do parâmetro ids pode causar Injeção SQL.
Esta vulnerabilidade é referenciada como CVE-2025-13782. Existe a possibilidade de executar o ataque de forma remota. Adicionalmente, há um exploit disponível.
Este produto opera em rolling release para fornecer atualizações contínuas. Dessa forma, não há dados de versões afetadas ou atualizadas.
Detalhes
Uma vulnerabilidade foi encontrada em taosir WTCMS até 01a5f68a3dfc2fdddb44eed967bb2d4f60487665. Foi declarada como crítico. O impacto ocorre em a função delete no arquivo application/Admin/Controller/SlideController.class.php no componente SlideController. A utilização do parâmetro ids pode causar Injeção SQL. Ao utilizar CWE para declarar o problema, isso direciona para CWE-89. A falha foi publicada. O aviso pode ser baixado em yuque.com.
Esta vulnerabilidade é referenciada como CVE-2025-13782. Existe a possibilidade de executar o ataque de forma remota. Informações técnicas estão acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK utiliza a técnica de ataque T1505 para esta edição.
Foi declarado como prova de conceito. O exploit pode ser baixado em yuque.com.
Este produto opera em rolling release para fornecer atualizações contínuas. Dessa forma, não há dados de versões afetadas ou atualizadas.
Produto
Fabricante
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔒VulDB Fiabilidade: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vetor: 🔒
CVSSv3
VulDB Meta Pontuação Base: 8.1VulDB Meta Pontuação Temporária: 7.9
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 6.6
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 9.8
NVD Vetor: 🔒
CNA Pontuação Base: 7.3
CNA Vetor: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍
Exploração
Classe: Injeção SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔒
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔒
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Tendência de preços: 🔍
Estimativa de preço atual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔒
Linha do tempo
29/11/2025 Aviso publicado29/11/2025 Entrada VulDB criada
12/12/2025 Última atualização da VulDB
Fontes
Aconselhamento: yuque.comEstado: Não definido
CVE: CVE-2025-13782 (🔒)
GCVE (CVE): GCVE-0-2025-13782
GCVE (VulDB): GCVE-100-333786
EUVD: 🔒
CNNVD: CNNVD-202511-3071 - wtcms SQL注入漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 29/11/2025 14h00Atualizado: 12/12/2025 06h12
Ajustamentos: 29/11/2025 14h00 (59), 29/11/2025 14h07 (1), 30/11/2025 05h24 (30), 30/11/2025 06h08 (1), 01/12/2025 16h40 (6), 12/12/2025 06h12 (11)
Completo: 🔍
Submissor: sT1TcH
Cache ID: 216::103
Submeter
Aceite
- Submeter #688837: wtcms cms 1.0 SQL Injection (de sT1TcH)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.