SourceCodester Prison Management System 1.0 Visit view_visit.php id SQL Injection
Eine Schwachstelle wurde in SourceCodester Prison Management System 1.0 ausgemacht. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Datei /pms/admin/visits/view_visit.php der Komponente Visit Handler. Durch Beeinflussen des Arguments id mit der Eingabe 2%27and%201=2%20union%20select%201,2,3,4,5,6,7,user(),database()--+
mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Die Schwachstelle wurde am 07.06.2022 herausgegeben. Bereitgestellt wird das Advisory unter github.com.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2022-2017 gehandelt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.
Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von github.com geschehen. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
25 weitere Einträge werden nicht mehr angezeigt