漏洞标题
Umbraco Workflow的后台用户可以执行任意SQL
漏洞描述信息
Umbraco工作流为Umbraco内容管理系统提供了工作流。在10.3.9、12.2.6和13.0.6版本之前,Umbraco Backoffice用户可以修改针对特定API端点的请求,以包含将由服务器执行的SQL。Umbraco Workflow版本10.3.9、12.2.6、13.0.6以及Umbraco Plumber版本10.1.2包含针对此问题的补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Umbraco Workflow's Backoffice users can execute arbitrary SQL
漏洞描述信息
Umbraco workflow provides workflows for the Umbraco content management system. Prior to versions 10.3.9, 12.2.6, and 13.0.6, an Umbraco Backoffice user can modify requests to a particular API endpoint to include SQL, which will be executed by the server. Umbraco Workflow versions 10.3.9, 12.2.6, 13.0.6, as well as Umbraco Plumber version 10.1.2, contain a patch for this issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:N
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Umbraco 安全漏洞
漏洞描述信息
Umbraco是丹麦Umbraco公司的一套C#编写的开源的内容管理系统(CMS)。 Umbraco workflow 10.3.9、12.2.6 和 13.0.6 之前版本存在安全漏洞,该漏洞源于 Umbraco Backoffice 用户可以修改特定 API 端点的请求。
CVSS信息
N/A
漏洞类别
其他