CVE-2024-46446
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 68 - wyżej niż 68% wszystkich znanych CVE
Streszczenie
Mecha CMS 3.0.0 zawiera podatność na przemieszczanie się po katalogach (Directory Traversal). Atakujący może skonstruować ciasteczka i URI omijające sprawdzanie tożsamości użytkownika, a następnie przekazać parametry metodą POST, co prowadzi do usunięcia dowolnych plików lub przejęcia strony.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość usunięcia krytycznych plików systemowych lub przejęcia kontroli nad stroną, co może skutkować utratą danych, przerwaniem działania serwisu oraz naruszeniem reputacji.
Rekomendacja
Zaleca się natychmiastową aktualizację Mecha CMS do najnowszej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy wdrożyć tymczasowe zabezpieczenia, takie jak walidacja i sanityzacja wszystkich danych wejściowych oraz ograniczenie dostępu do wrażliwych plików.
Oryginalny opis (angielski, źródło NVD)
Mecha CMS 3.0.0 is vulnerable to Directory Traversal. An attacker can construct cookies and URIs that bypass user identity checks. Parameters can then be passed through the POST method, resulting in the Deletion of Arbitrary Files or Website Takeover.

