CVE-2016-9182 in ExponentИнформация

Сводка

по VulDB • 03.06.2026

В Exponent CMS 2.4 для вызова метода класса контроллера используется PHP reflection, а затем имя метода применяется для проверки прав пользователя. Однако в PHP reflection имена методов регистронезависимы, а Exponent CMS по умолчанию разрешает выполнение неопределенных действий. В результате злоумышленник может использовать имя метода с заглавной буквы для обхода проверки прав доступа, например, используя параметры controller=expHTMLEditor&action=preview&editor=ckeditor и controller=expHTMLEditor&action=Preview&editor=ckeditor. Для первого запроса анонимный пользователь будет отклонен, а для второго — получит доступ.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Резервировать

04.11.2016

Раскрытие

04.11.2016

Модерация

принято

Вход

VDB-93321

CPE

готов

CWE

CWE-284 (Подтверждённый)

CVSS

7.5 (NVD)

EPSS

0.00166

KEV

Нет

Деятельности

Очень низкий

Сектор

Lawfirm, Agriculture, ...

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2016-9182
NVD	https://nvd.nist.gov/vuln/detail/CVE-2016-9182
CVE Details	https://www.cvedetails.com/cve/CVE-2016-9182/

◂ Предыдущий Обзор Далее ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!