SourceCodester Human Resource Management System getstatecity.php sc SQL Injection
Es wurde eine kritische Schwachstelle in SourceCodester Human Resource Management System ausgemacht. Betroffen hiervon ist ein unbekannter Ablauf der Datei getstatecity.php. Durch das Beeinflussen des Arguments sc mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Die Schwachstelle wurde am 12.10.2022 publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2022-3470 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle. Er gilt als proof-of-concept. Der Exploit kann von github.com heruntergeladen werden. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.