SourceCodester Garage Management System 1.0 createUser.php userName Cross Site Scripting
Es wurde eine Schwachstelle in SourceCodester Garage Management System 1.0 gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Datei /php_action/createUser.php. Durch das Beeinflussen des Arguments userName mit der Eingabe lala<img src="" onerror=alert(1)>
mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Die Schwachstelle wurde am 29.07.2022 publik gemacht. Auf github.com kann das Advisory eingesehen werden.
Die Verwundbarkeit wird unter CVE-2022-2579 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
45 weitere Einträge werden nicht mehr angezeigt