kkFileView /picturesPreview setWatermarkAttribute Cross Site Scripting
Eine problematische Schwachstelle wurde in kkFileView entdeckt. Es geht hierbei um die Funktion setWatermarkAttribute
der Datei /picturesPreview. Durch Beeinflussen mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Der Fehler wurde am 25.12.2022 als I674AC veröffentlicht. Das Advisory kann von gitee.com heruntergeladen werden.
Die Identifikation der Schwachstelle findet als CVE-2022-4740 statt. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.
Er gilt als proof-of-concept. Der Exploit kann von gitee.com heruntergeladen werden. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.