Katalog CVE

CVE-2025-50567

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.69%

Percentyl 48 - wyżej niż 48% wszystkich znanych CVE

Streszczenie

Saurus CMS Community Edition 4.7.1 zawiera podatność w funkcji DB::prepare(), która używa preg_replace() z przestarzałym modyfikatorem /e (eval) do interpolacji parametrów zapytań SQL. Umożliwia to wstrzyknięcie kontrolowanych przez użytkownika instrukcji SQL, co może prowadzić do wykonania dowolnego kodu PHP.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolny kod PHP na serwerze, co prowadzi do pełnego przejęcia kontroli nad systemem CMS, kradzieży danych lub dalszego ataku na infrastrukturę.

Rekomendacja

Należy natychmiast zaktualizować Saurus CMS do najnowszej wersji, która usuwa użycie modyfikatora /e w preg_replace() oraz stosuje bezpieczne metody parametryzacji zapytań SQL.

Oryginalny opis (angielski, źródło NVD)

Saurus CMS Community Edition 4.7.1 contains a vulnerability in the custom DB::prepare() function, which uses preg_replace() with the deprecated /e (eval) modifier to interpolate SQL query parameters. This leads to injection of user-controlled SQL statements, potentially leading to arbitrary PHP code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS