Es wurde eine Schwachstelle in annyshow DuxCMS 2.1 ausgemacht. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Datei admin.php&r=article/AdminContent/edit der Komponente Article Handler. Durch Beeinflussen des Arguments content mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Das Problem wurde am 08.12.2022 publiziert. Das Advisory findet sich auf gitee.com. Die Identifikation der Schwachstelle wird mit CVE-2020-36609 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet. Er wird als proof-of-concept gehandelt. Unter gitee.com wird der Exploit zur Verfügung gestellt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.