CVE-2024-2820 | THREATINT

Description

A vulnerability classified as problematic was found in DedeCMS 5.7. Affected by this vulnerability is an unknown functionality of the file /src/dede/baidunews.php. The manipulation of the argument filename leads to cross-site request forgery. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-257707. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

In DedeCMS 5.7 wurde eine problematische Schwachstelle entdeckt. Betroffen ist eine unbekannte Verarbeitung der Datei /src/dede/baidunews.php. Durch Beeinflussen des Arguments filename mit unbekannten Daten kann eine cross-site request forgery-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Der Exploit steht zur öffentlichen Verfügung.

Reserved 2024-03-22 | Published 2024-03-22 | Updated 2024-08-01 | Assigner VulDB

MEDIUM: 4.3CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

MEDIUM: 4.3CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

5.0AV:N/AC:L/Au:N/C:N/I:P/A:N

Problem types

CWE-352 Cross-Site Request Forgery

Timeline

2024-03-22:	Advisory disclosed
2024-03-22:	VulDB entry created
2024-03-22:	VulDB entry last update

Credits

SSL_Seven_Security Lab_WangZhiQiang_XiaoZiLong (VulDB User) reporter

References

vuldb.com/?id.257707 (VDB-257707 | DedeCMS baidunews.php cross-site request forgery) vdb-entry technical-description

vuldb.com/?ctiid.257707 (VDB-257707 | CTI Indicators (IOB, IOC, IOA)) signature permissions-required

github.com/E1CHO/demo/blob/main/26.pdf exploit

cve.org (CVE-2024-2820)

nvd.nist.gov (CVE-2024-2820)

Download JSON