Es wurde eine Schwachstelle in evandro-machado Trabalho-Web2 ausgemacht. Sie wurde als kritisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Datei src/java/br/com/magazine/dao/ClienteDAO.java. Dank der Manipulation mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Das Problem wurde am 16.01.2023 als f59ac954625d0a4f6d34f069a2e26686a7a20aeb publiziert. Das Advisory findet sich auf github.com. Die Identifikation der Schwachstelle wird mit CVE-2015-10061 vorgenommen. Der Angriff kann im lokalen Netzwerk passieren. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet. Er wird als nicht definiert gehandelt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Der Patch wird als f59ac954625d0a4f6d34f069a2e26686a7a20aeb bezeichnet. Dieser kann von github.com heruntergeladen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.