Hindu Matrimonial Script /admin/newsletter1.php erweiterte Rechte
Eine Schwachstelle wurde in Hindu Matrimonial Script gefunden. Sie wurde als kritisch eingestuft. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei /admin/newsletter1.php. Dank der Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-269. Der Fehler wurde am 13.01.2017 von Ihsan Sencan als EDB-ID 41044 mittels Exploit (Exploit-DB) veröffentlicht. Auf exploit-db.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2017-20074 statt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle. Er gilt als proof-of-concept. Unter exploit-db.com wird der Exploit bereitgestellt. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.