PHPGurukul Doctor Appointment Management System 1.0 view-appointment-detail.php editid erweiterte Rechte
Eine kritische Schwachstelle wurde in PHPGurukul Doctor Appointment Management System 1.0 entdeckt. Es geht hierbei um eine nicht näher spezifizierte Funktion der Datei /doctor/view-appointment-detail.php. Durch Manipulieren des Arguments editid mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-99. Der Fehler wurde am 27.04.2024 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2024-4294 statt. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
36 weitere Einträge werden nicht mehr angezeigt