SourceCodester Online Courseware 1.0 admin/activatestud.php selector SQL Injection

In SourceCodester Online Courseware 1.0 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei admin/activatestud.php. Mittels dem Manipulieren des Arguments selector mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Gefahr wurde am 06.04.2024 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-3422 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.

Zeitverlauf

Benutzer

139

Feld

vulnerability_cvss3_meta_tempscore2
vulnerability_cvss3_cna_basescore1
vulnerability_cvss2_nvd_basescore1
source_cve_cna1
vulnerability_cvss3_cna_a1

Commit Conf

90%29
70%26
50%12
80%8

Approve Conf

80%29
90%29
70%17
IDÜbermitteltBenutzerFeldÄnderungBemerkungAkzeptiertStatusC
1626434910.05.2024VulD...cvss3_cna_basescore6.3see CVSS documentation10.05.2024akzeptiert
80
1626434810.05.2024VulD...cvss2_nvd_basescore6.5nist.gov10.05.2024akzeptiert
80
1626434710.05.2024VulD...cvss3_meta_tempscore6.0see CVSS documentation10.05.2024akzeptiert
80
1626434610.05.2024VulD...cve_cnaVulDBnvd.nist.gov10.05.2024akzeptiert
70
1626434510.05.2024VulD...cvss3_cna_aLnvd.nist.gov10.05.2024akzeptiert
70
1626434410.05.2024VulD...cvss3_cna_iLnvd.nist.gov10.05.2024akzeptiert
70
1626434310.05.2024VulD...cvss3_cna_cLnvd.nist.gov10.05.2024akzeptiert
70
1626434210.05.2024VulD...cvss3_cna_sUnvd.nist.gov10.05.2024akzeptiert
70
1626434110.05.2024VulD...cvss3_cna_uiNnvd.nist.gov10.05.2024akzeptiert
70
1626434010.05.2024VulD...cvss3_cna_prLnvd.nist.gov10.05.2024akzeptiert
70
1626433910.05.2024VulD...cvss3_cna_acLnvd.nist.gov10.05.2024akzeptiert
70
1626433810.05.2024VulD...cvss3_cna_avNnvd.nist.gov10.05.2024akzeptiert
70
1626433710.05.2024VulD...cvss2_nvd_aiPnvd.nist.gov10.05.2024akzeptiert
70
1626433610.05.2024VulD...cvss2_nvd_iiPnvd.nist.gov10.05.2024akzeptiert
70
1626433510.05.2024VulD...cvss2_nvd_ciPnvd.nist.gov10.05.2024akzeptiert
70
1626433410.05.2024VulD...cvss2_nvd_auSnvd.nist.gov10.05.2024akzeptiert
70
1626433310.05.2024VulD...cvss2_nvd_acLnvd.nist.gov10.05.2024akzeptiert
70
1626433210.05.2024VulD...cvss2_nvd_avNnvd.nist.gov10.05.2024akzeptiert
70
1626433110.05.2024VulD...cve_nvd_summaryA vulnerability was found in SourceCodester Online Courseware 1.0. It has been declared as critical. This vulnerability affects unknown code of the file admin/activatestud.php. The manipulation of the argument selector leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-259594 is the identifier assigned to this vulnerability.cve.mitre.org10.05.2024akzeptiert
70
1626433010.05.2024VulD...cve_assigned1712354400 (06.04.2024)cve.mitre.org10.05.2024akzeptiert
70

55 weitere Einträge werden nicht mehr angezeigt

🔒 Login Required

You need to signup and login to see more of the remaining 55 results.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!