کشف آسیب‌پذیری در Dreamer CMS

کشف آسیب‌پذیری در Dreamer CMS

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-3311 و شدت متوسط (6.3) در Dreamer CMS کشف شده است. این آسیب‌پذیری در تابع «ZipUtils.unZipFiles» فایل «controller/admin/ThemesController.java» وجود دارد که در صورت بهره‌برداری از آن، امکان دستکاری مسیر برای مهاجم فراهم خواهد شد و می‌توان از راه دور از آن بهره‌برداری کرد. بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)  بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی پایین نیاز است (PR: L)  و به تعامل با کاربر نیاز ندارد (UI:N) بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و هر سه ضلع امنیت، با شدت پایین تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر
این نقص امنیتی تمامی نسخه‌های قبل از4.1.3.0 Dreamer CMS را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی 
به کاربران توصیه می‌شودDreamer CMS  به نسخه 4.1.3.0 یا بالاتر ارتقاء دهند. 

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-3311