Plataforma
php
Componente
redaxo
Corrigido em
5.2.1
A vulnerabilidade CVE-2016-20053 afeta o Redaxo CMS nas versões 5.2–5.2. Esta falha de Cross-Site Request Forgery (XSRF) permite que atacantes não autenticados criem contas de administrador, induzindo administradores autenticados a visitar páginas maliciosas. A exploração bem-sucedida pode resultar em controle não autorizado sobre o sistema Redaxo CMS.
Um atacante pode explorar esta vulnerabilidade para criar contas de administrador no sistema Redaxo CMS sem o consentimento do administrador legítimo. Isso permite que o atacante obtenha acesso completo ao painel de administração, podendo modificar conteúdo, instalar plugins maliciosos, alterar configurações do sistema e, potencialmente, comprometer todo o site. A criação de contas de administrador não autorizadas representa um risco significativo para a segurança e integridade do site, permitindo que o atacante realize ações maliciosas em nome do administrador legítimo.
A vulnerabilidade foi divulgada publicamente em 2026-04-04. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza de XSRF torna a vulnerabilidade passível de exploração. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento. A ausência de um patch oficial exige a implementação de medidas de mitigação para reduzir o risco.
Websites and applications relying on Redaxo CMS versions 5.2–5.2 are at risk. This includes organizations with limited security expertise or those who have not regularly updated their CMS installations. Shared hosting environments using Redaxo CMS are particularly vulnerable, as attackers could potentially compromise multiple websites from a single point of entry.
• php / web:
curl -I 'http://example.com/users?admin_username=attacker&admin_password=password'• php / web: Examine access logs for suspicious requests to the /users endpoint with POST data containing adminusername and adminpassword parameters.
• php / web: Review Redaxo CMS configuration files for any insecure settings related to user creation or authentication.
• generic web: Monitor for new administrative user accounts created without proper authorization.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
Como não há uma versão corrigida disponível, a mitigação imediata envolve a implementação de medidas de segurança adicionais. Implemente validação rigorosa de entrada em todos os formulários, especialmente aqueles relacionados à criação de usuários. Utilize tokens CSRF em todos os formulários para evitar ataques XSRF. Considere a implementação de uma Web Application Firewall (WAF) para filtrar solicitações maliciosas. Monitore logs do sistema em busca de atividades suspeitas, como tentativas de criação de contas de administrador não autorizadas. Após a implementação das medidas de mitigação, verifique a integridade do sistema, revisando as contas de usuário e garantindo que apenas administradores autorizados tenham acesso.
Atualize o Redaxo CMS para uma versão corrigida. Consulte a documentação oficial do Redaxo para obter instruções específicas sobre como atualizar e aplicar os patches de segurança.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2016-20053 is a cross-site request forgery vulnerability in Redaxo CMS versions 5.2–5.2, allowing attackers to create admin accounts without consent.
If you are running Redaxo CMS version 5.2, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade Redaxo CMS to a version that includes the security patch. Consult the Redaxo CMS documentation for upgrade instructions.
While widespread exploitation is not confirmed, the vulnerability's simplicity suggests it could be targeted by attackers. Maintain vigilance and implement mitigations.
Refer to the Redaxo CMS security advisories on their official website for the latest information and updates regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.