rickxy Stock Management System /pages/processlogin.php user/password SQL Injection
Eine Schwachstelle wurde in rickxy Stock Management System gefunden. Sie wurde als kritisch eingestuft. Dies betrifft einen unbekannten Teil der Datei /pages/processlogin.php. Durch das Beeinflussen des Arguments user/password mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Der Fehler wurde am 24.11.2022 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2022-4088 statt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle. Er gilt als proof-of-concept. Der Download des Exploits kann von github.com geschehen. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.