Kostenlos scannen
CRITICALCVE-2024-12016CVSS 9.8

SQLi in CM Informatics' CM News

wird übersetzt…

Plattform

other

Komponente

cm-news

Behoben in

6.0.1

AI Confidence: highNVDEPSS 0.1%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2024-12016 describes a SQL Injection vulnerability present in CM News. This flaw allows attackers to inject malicious SQL code into queries, potentially granting them unauthorized access to sensitive data and control over the system. The vulnerability affects versions 0 through 6.0 of CM News, and a patch is available in version 6.0.1.

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2024-12016 could allow an attacker to bypass authentication, read, modify, or delete data within the CM News database. This could include user credentials, sensitive business information, or other critical data. Depending on the database configuration and permissions, an attacker might even be able to execute operating system commands, leading to complete system compromise. The lack of vendor support significantly increases the risk, as there are no official security updates or monitoring efforts.

Ausnutzungskontextwird übersetzt…

CVE-2024-12016 has been publicly disclosed. The absence of vendor support is a significant concern, increasing the likelihood of exploitation. No public proof-of-concept exploits are currently known, but the SQL Injection nature of the vulnerability makes it relatively easy to exploit. The KEV status is currently unknown.

Wer Ist Gefährdetwird übersetzt…

Organizations using CM News, particularly those with older versions (0-6.0) and those who have not implemented robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same CM News instance are also particularly vulnerable.

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.10% (28% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentecm-news
HerstellerCM Informatics
Betroffener BereichBehoben in
0 – 6.06.0.1

Schwachstellen-Klassifikation (CWE)

CWE-89

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2024-12016 is to upgrade to CM News version 6.0.1, which contains the fix. Given the lack of vendor support, consider isolating the CM News instance from the network to prevent unauthorized access. Implement strict input validation and parameterized queries in any custom code interacting with the database. While a WAF might offer some protection, it's unlikely to be effective against all possible SQL Injection payloads without specific rules tailored to CM News.

So behebenwird übersetzt…

Dado que el producto no tiene soporte, la única solución es migrar a una alternativa que sí reciba actualizaciones de seguridad. Si no es posible migrar, se recomienda aislar el sistema y restringir el acceso para mitigar el riesgo.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2024-12016 — SQL Injection in CM News?

CVE-2024-12016 is a critical SQL Injection vulnerability affecting CM News versions 0 through 6.0, allowing attackers to inject malicious SQL code.

Am I affected by CVE-2024-12016 in CM News?

If you are using CM News versions 0-6.0, you are potentially affected by this vulnerability. Upgrade to 6.0.1 immediately.

How do I fix CVE-2024-12016 in CM News?

The recommended fix is to upgrade to CM News version 6.0.1. Given the lack of vendor support, consider isolating the instance.

Is CVE-2024-12016 being actively exploited?

While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted. The lack of vendor support increases the risk.

Where can I find the official CM News advisory for CVE-2024-12016?

Due to the lack of vendor support, there is no official advisory from CM Informatics. Rely on external security resources for information.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen