CVE-2025-50567
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 - wyżej niż 48% wszystkich znanych CVE
Streszczenie
Saurus CMS Community Edition 4.7.1 zawiera podatność w funkcji DB::prepare(), która używa preg_replace() z przestarzałym modyfikatorem /e (eval) do interpolacji parametrów zapytań SQL. Umożliwia to wstrzyknięcie kontrolowanych przez użytkownika instrukcji SQL, co może prowadzić do wykonania dowolnego kodu PHP.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolny kod PHP na serwerze, co prowadzi do pełnego przejęcia kontroli nad systemem CMS, kradzieży danych lub dalszego ataku na infrastrukturę.
Rekomendacja
Należy natychmiast zaktualizować Saurus CMS do najnowszej wersji, która usuwa użycie modyfikatora /e w preg_replace() oraz stosuje bezpieczne metody parametryzacji zapytań SQL.
Oryginalny opis (angielski, źródło NVD)
Saurus CMS Community Edition 4.7.1 contains a vulnerability in the custom DB::prepare() function, which uses preg_replace() with the deprecated /e (eval) modifier to interpolate SQL query parameters. This leads to injection of user-controlled SQL statements, potentially leading to arbitrary PHP code execution.

