Es wurde eine kritische Schwachstelle in 2071174A vinylmap ausgemacht. Es betrifft die Funktion contact
der Datei recordstoreapp/views.py. Mittels Manipulieren mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Die Schwachstelle wurde am 15.01.2023 als b07b79a1e92cc62574ba0492cce000ef4a7bd25f publik gemacht. Das Advisory kann von github.com heruntergeladen werden.
Die Verwundbarkeit wird unter CVE-2015-10056 geführt. Der Angriff kann im lokalen Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505.
Er gilt als nicht definiert. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Der Patch wird als b07b79a1e92cc62574ba0492cce000ef4a7bd25f bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.