Description
A vulnerability has been found in SeriaWei ZKEACMS up to 4.3. This affects the function Delete of the file src/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cs of the component POST Request Handler. The manipulation leads to improper authorization. Remote exploitation of the attack is possible. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
In SeriaWei ZKEACMS up to 4.3 wurde eine Schwachstelle gefunden. Es betrifft die Funktion Delete der Datei src/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cs der Komponente POST Request Handler. Durch Manipulieren mit unbekannten Daten kann eine improper authorization-Schwachstelle ausgenutzt werden. Der Angriff kann remote ausgeführt werden. Der Exploit wurde der Öffentlichkeit bekannt gemacht und könnte verwendet werden.
Problem types
Incorrect Privilege Assignment
Product status
4.1
4.2
4.3
Timeline
| 2025-10-04: | Advisory disclosed |
| 2025-10-04: | VulDB entry created |
| 2025-10-04: | VulDB entry last update |
Credits
Yu Bao (VulDB User)
References
vuldb.com/?id.327006 (VDB-327006 | SeriaWei ZKEACMS POST Request UrlRedirectionController.cs Delete improper authorization)
vuldb.com/?ctiid.327006 (VDB-327006 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.655842 (Submit #655842 | SeriaWei ZKEACMS v4.3 Unauthorized deletion URL redirect rules)
github.com/August829/YU1/issues/4
github.com/August829/YU1/issues/4
