SourceCodester Online Chatting System 1.0 admin/update_room.php id SQL Injection
Es wurde eine kritische Schwachstelle in SourceCodester Online Chatting System 1.0 entdeckt. Es geht dabei um eine nicht klar definierte Funktion der Datei admin/update_room.php. Durch das Manipulieren des Arguments id mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Die Schwachstelle wurde am 26.03.2024 publik gemacht. Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2024-2932 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.