CVE ID: CVE-2024-4836 Data publikacji: 02 lipca 2024 Producent podatnego oprogramowania: Edito Nazwa podatnego oprogramowania: Edito CMS Podatne wersje: Od 3.5 do 3.25 włącznie Typ podatności (CWE): Files or Directories Accessible to External Parties (CWE-552) Źródło zgłoszenia: Zgłoszenie do CERT Polska Opis podatności CERT Polska otrzymała zgłoszenie o podatności w oprogramowaniu Edito CMS i koordynowała proces ujawniania informacji. Podatność CVE-2024-4836 występuje na stronach zarządzanych przez Edito CMS w wersjach od 3.5 do 3.25 włącznie i pozwala nieautoryzowanemu użytkownikowi na pobieranie plików lokalnych, w tym plików konfiguracyjnych zawierających wrażliwe dane, takie jak dane logowania do bazy danych. Oprogramowanie w wersjach wyższych niż 3.25, jak również wydane w wersji niższej po 10 stycznia 2014, nie jest podatne. Możliwe jest ograniczenie skutków występowania tej podatności poprzez zastosowanie pliku konfiguracyjnego dostarczonego przez producenta.