SourceCodester Yoga Class Registration System 1.0 admin/user/list.php query name Cross Site Scripting
In SourceCodester Yoga Class Registration System 1.0 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Betroffen ist die Funktion query
der Datei admin/user/list.php. Dank Manipulation des Arguments name mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Gefahr wurde am 14.03.2023 an die Öffentlichkeit getragen. Auf blog.csdn.net kann das Advisory eingesehen werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2023-1395 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Er gilt als proof-of-concept. Unter blog.csdn.net wird der Exploit bereitgestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.