gesellix titlelink auf Joomla plugin_content_title.php phrase SQL Injection
In gesellix titlelink für Joomla wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktionalität der Datei plugin_content_title.php. Mit der Manipulation des Arguments phrase mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Schwäche wurde am 04.01.2023 als b4604e523853965fa981a4e79aef4b554a535db0 öffentlich gemacht. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird als CVE-2010-10003 geführt. Der Angriff kann im lokalen Netzwerk angegangen werden. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet. Er wird als nicht definiert gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Der Patch wird als b4604e523853965fa981a4e79aef4b554a535db0 bezeichnet. Dieser kann von github.com heruntergeladen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.