یک آسیبپذیری با شناسه CVE-2024-3311 و شدت متوسط (6.3) در Dreamer CMS کشف شده است. این آسیبپذیری در تابع «ZipUtils.unZipFiles» فایل «controller/admin/ThemesController.java» وجود دارد که در صورت بهرهبرداری از آن، امکان دستکاری مسیر برای مهاجم فراهم خواهد شد و میتوان از راه دور از آن بهرهبرداری کرد. بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل با کاربر نیاز ندارد (UI:N) بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و هر سه ضلع امنیت، با شدت پایین تحت تاثیر قرار میگیرند.
محصولات تحت تأثیر
این نقص امنیتی تمامی نسخههای قبل از4.1.3.0 Dreamer CMS را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشودDreamer CMS به نسخه 4.1.3.0 یا بالاتر ارتقاء دهند.
منبع خبر:
- 40