Campcodes Church Management System 1.0 /admin/addTithes.php na SQL Injection

Es wurde eine kritische Schwachstelle in Campcodes Church Management System 1.0 ausgemacht. Dabei betrifft es einen unbekannter Codeteil der Datei /admin/addTithes.php. Dank der Manipulation des Arguments na mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Die Schwachstelle wurde am 09.04.2024 publik gemacht. Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2024-3538 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505. Er gilt als proof-of-concept. Unter github.com wird der Exploit zur Verfügung gestellt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.

Zeitverlauf

Benutzer

139

Feld

vulnerability_cvss3_meta_tempscore2
vulnerability_cvss3_cna_basescore1
vulnerability_cvss2_nvd_basescore1
source_cve_cna1
vulnerability_cvss3_cna_a1

Commit Conf

90%29
70%26
50%12
80%8

Approve Conf

80%29
90%29
70%17
IDÜbermitteltBenutzerFeldÄnderungBemerkungAkzeptiertStatusC
1629158014.05.2024VulD...cvss3_cna_basescore6.3see CVSS documentation14.05.2024akzeptiert
80
1629157914.05.2024VulD...cvss2_nvd_basescore6.5nist.gov14.05.2024akzeptiert
80
1629157814.05.2024VulD...cvss3_meta_tempscore6.0see CVSS documentation14.05.2024akzeptiert
80
1629157714.05.2024VulD...cve_cnaVulDBnvd.nist.gov14.05.2024akzeptiert
70
1629157614.05.2024VulD...cvss3_cna_aLnvd.nist.gov14.05.2024akzeptiert
70
1629157514.05.2024VulD...cvss3_cna_iLnvd.nist.gov14.05.2024akzeptiert
70
1629157414.05.2024VulD...cvss3_cna_cLnvd.nist.gov14.05.2024akzeptiert
70
1629157314.05.2024VulD...cvss3_cna_sUnvd.nist.gov14.05.2024akzeptiert
70
1629157214.05.2024VulD...cvss3_cna_uiNnvd.nist.gov14.05.2024akzeptiert
70
1629157114.05.2024VulD...cvss3_cna_prLnvd.nist.gov14.05.2024akzeptiert
70
1629157014.05.2024VulD...cvss3_cna_acLnvd.nist.gov14.05.2024akzeptiert
70
1629156914.05.2024VulD...cvss3_cna_avNnvd.nist.gov14.05.2024akzeptiert
70
1629156814.05.2024VulD...cvss2_nvd_aiPnvd.nist.gov14.05.2024akzeptiert
70
1629156714.05.2024VulD...cvss2_nvd_iiPnvd.nist.gov14.05.2024akzeptiert
70
1629156614.05.2024VulD...cvss2_nvd_ciPnvd.nist.gov14.05.2024akzeptiert
70
1629156514.05.2024VulD...cvss2_nvd_auSnvd.nist.gov14.05.2024akzeptiert
70
1629156414.05.2024VulD...cvss2_nvd_acLnvd.nist.gov14.05.2024akzeptiert
70
1629156314.05.2024VulD...cvss2_nvd_avNnvd.nist.gov14.05.2024akzeptiert
70
1629156214.05.2024VulD...cve_nvd_summaryA vulnerability was found in Campcodes Church Management System 1.0. It has been classified as critical. Affected is an unknown function of the file /admin/addTithes.php. The manipulation of the argument na leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-259908.cve.mitre.org14.05.2024akzeptiert
70
1629156114.05.2024VulD...cve_assigned1712613600 (09.04.2024)cve.mitre.org14.05.2024akzeptiert
70

55 weitere Einträge werden nicht mehr angezeigt

🔒 Login Required

You need to signup and login to see more of the remaining 55 results.

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!