XiaoBingBy TeaCMS bis 2.0.2 /admin/getallarticleinfo searchInfo SQL Injection
In XiaoBingBy TeaCMS bis 2.0.2 wurde eine kritische Schwachstelle gefunden. Das betrifft eine unbekannte Funktionalität der Datei /admin/getallarticleinfo. Dank der Manipulation des Arguments searchInfo mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Gefahr wurde am 18.03.2023 an die Öffentlichkeit getragen. Auf gitee.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2023-1483 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle. Er gilt als nicht definiert. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.