SourceCodester Loan Management System delete_lplan.php lplan_id SQL Injection
Eine kritische Schwachstelle wurde in SourceCodester Loan Management System gefunden. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei delete_lplan.php. Durch das Manipulieren des Arguments lplan_id mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Die Schwachstelle wurde am 05.08.2022 herausgegeben. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2022-2667 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet. Er wird als proof-of-concept gehandelt. Der Exploit wird unter github.com bereitgestellt. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.