SourceCodester Garage Management System createUser.php userName/uemail SQL Injection
Es wurde eine kritische Schwachstelle in SourceCodester Garage Management System ausgemacht. Hiervon betroffen ist ein unbekannter Codeblock der Datei createUser.php. Dank der Manipulation des Arguments userName/uemail mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Die Schwachstelle wurde am 05.08.2022 publik gemacht. Das Advisory kann von vuldb.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2022-2672 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505. Er gilt als proof-of-concept. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
42 weitere Einträge werden nicht mehr angezeigt