Es wurde eine Schwachstelle in SourceCodester Garage Management System 1.0 gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Datei /php_action/createUser.php. Durch das Beeinflussen des Arguments userName mit der Eingabe lala<img src="" onerror=alert(1)> mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Die Schwachstelle wurde am 29.07.2022 publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2022-2579 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

45 weitere Einträge werden nicht mehr angezeigt