CRITICAL🇬🇧 English

CVE-2024-31611

SeaCMS 12.9 — nieautoryzowane usuwanie plików przez admin_template.php

CVSS 9.1v3.1pub. 2024-06-10upd. 2025-03-13

SeaCMS w wersji 12.9 zawiera podatność umożliwiającą usuwanie arbitralnych plików poprzez komponent admin_template.php. Zagrożenie jest poważne, ponieważ atakujący zdalnie i bez uwierzytelnienia może trwale niszczyć pliki na serwerze, wpływając na integralność i dostępność aplikacji.

Pokaż oryginał (EN)

SeaCMS 12.9 has a file deletion vulnerability via admin_template.php.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-404 (improper resource shutdown or release) dotyczy nieprawidłowej obsługi zasobów plikowych w pliku admin_template.php. Atakujący, wysyłając odpowiednio spreparowane żądanie sieciowe, może wskazać dowolny plik na serwerze i spowodować jego usunięcie. Brak wymagania uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N) oznacza, że atak może być przeprowadzony zdalnie przez każdą nieuprawnioną osobę.

Skutki

Atakujący może trwale usunąć dowolne pliki na serwerze, co prowadzi do naruszenia integralności aplikacji oraz potencjalnego całkowitego jej unieruchomienia (denial of service). Możliwe jest również usunięcie krytycznych plików konfiguracyjnych lub systemowych, co może skutkować degradacją lub awarią całej usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do pliku admin_template.php (np. poprzez reguły firewall lub konfigurację serwera WWW) oraz monitorowanie logów pod kątem nieautoryzowanych żądań do tego zasobu.

Kogo dotyczy

SeaCMS w wersji 12.9

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Seacms

    APP
    Seacms
    12.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-44073CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php

CVE-2025-44074CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_topic.php

CVE-2025-44072CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_manager.php

CVE-2025-44071CRITICAL9.8PL ✓ten sam produkt

RCE w SeaCMS v13.3 przez komponent phomebak.php

CVE-2025-29647CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php