发布日期：2021-04-15
更新日期：2021-04-20

受影响系统：

Tribal Systems Zenario CMS 8.8.52729

描述：

---

CVE(CAN) ID: CVE-2021-27672

Zenario是基于Web的内容管理系统或CMS。它可以用于具有许多“所见即所得”功能的简单站点，但实际上是为运行Extranet站点（例如客户门户）而设计的。
Tribal Systems Zenario CMS 8.8.52729版本的“ admin_boxes.ajax.php”组件存在SQL注入漏洞。远程攻击者在创建新的HTML组件时可通过将SQL命令注入“cID”参数利用该漏洞获取敏感的数据库信息。

<**>

建议：

---

厂商补丁：

Tribal Systems
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://deadsh0t.medium.com/blind-error-based-authenticated-sql-injection-on-zenario-8-8-52729-cms-d4705534df38
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27672

浏览次数：1137
严重程度：0（网友投票）