Eine kritische Schwachstelle wurde in saemorris TheRadSystem gefunden. Betroffen davon ist die Funktion redirect
der Datei _login.php. Durch Manipulation des Arguments user/pass mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Die Schwachstelle wurde am 16.01.2023 als bfba26bd34af31648a11af35a0bb66f1948752a6 herausgegeben. Bereitgestellt wird das Advisory unter github.com.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2015-10063 gehandelt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.
Er wird als nicht definiert gehandelt. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Der Patch wird als bfba26bd34af31648a11af35a0bb66f1948752a6 bezeichnet. Dieser kann von github.com heruntergeladen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.