In corincerami curiosity wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es unbekannten Programmcode der Datei app/controllers/image_controller.rb. Durch Manipulation des Arguments sol mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Schwäche wurde am 08.01.2023 als d64fddd74ca72714e73f4efe24259ca05c8190eb öffentlich gemacht. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird als CVE-2014-125067 geführt. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet. Er wird als nicht definiert gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Der Patch wird als d64fddd74ca72714e73f4efe24259ca05c8190eb bezeichnet. Dieser kann von github.com heruntergeladen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.