SourceCodester Online Courseware 1.0 admin/activatestud.php selector SQL Injection
In SourceCodester Online Courseware 1.0 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei admin/activatestud.php. Mittels dem Manipulieren des Arguments selector mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Gefahr wurde am 06.04.2024 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-3422 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.