SourceCodester E-Commerce System 1.0 Username controller.php USERID erweiterte Rechte
Eine kritische Schwachstelle wurde in SourceCodester E-Commerce System 1.0 ausgemacht. Davon betroffen ist unbekannter Code der Datei /ecommerce/admin/user/controller.php?action=edit der Komponente Username Handler. Durch Manipulieren des Arguments USERID mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-284. Der Fehler wurde am 22.03.2023 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2023-1557 statt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle. Er gilt als proof-of-concept. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.