返回列表

Dynamicweb 任意账户创建漏洞（CVE-2022-25369）

CVE: CVE-2022-25369

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 错误的访问控制

漏洞等级: 中危

年份: 2022

POC_ID: 108

漏洞描述

Dynamicweb 提供基于云的电子商务套件。Dynamicweb 使客户能够通过我们的内容管理、数字营销、电子商务和产品信息管理解决方案提供更好的数字客户体验并扩大电子商务的成功。在 9.12.8 之前的 Dynamicweb 中存在管理员用户创建漏洞。攻击者无需身份验证即可添加新的管理员用户。

影响范围

Dynamicweb 9.5.0 - 9.12.7

漏洞详情

登录后可查看漏洞详情。请先登录或注册。

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

Dynamicweb已发布修复版本: Dynamicweb 9.5.9 Dynamicweb 9.6.16 Dynamicweb 9.7.8 Dynamicweb 9.8.11 Dynamicweb 9.9. Dynamicweb 9.10.18 Dynamicweb 9.12.8 Dynamicweb 9.13.0+

参考来源

https://blog.assetnote.io/2022/02/20/dynamicweb-advisory/