Es wurde eine problematische Schwachstelle in PbootCMS 3.2.5-20230421 entdeckt. Dabei betrifft es einen unbekannter Codeteil der Datei /admin.php?p=/Area/index#tab=t2. Durch die Manipulation des Arguments name mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Die Schwachstelle wurde am 29.01.2024 publik gemacht. Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2024-1018 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007. Er gilt als proof-of-concept. Der Exploit wird unter github.com bereitgestellt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.