SourceCodester Online Tours & Travels Management System 1.0 admin/practice_pdf.php id SQL Injection
Eine Schwachstelle wurde in SourceCodester Online Tours & Travels Management System 1.0 entdeckt. Sie wurde als kritisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion der Datei admin/practice_pdf.php. Durch das Beeinflussen des Arguments id mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Die Schwachstelle wurde am 28.01.2023 herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2023-0560 gehandelt. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus. Er wird als proof-of-concept gehandelt. Unter github.com wird der Exploit zum Download angeboten. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.