Rigatur Online Booking and Hotel Management System aff6409 POST Request login.php email/pass SQL Injection
In Rigatur Online Booking and Hotel Management System aff6409 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung der Datei login.php der Komponente POST Request Handler. Dank Manipulation des Arguments email/pass mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Schwäche wurde am 05.08.2022 öffentlich gemacht. Bereitgestellt wird das Advisory unter vuldb.com. Die Verwundbarkeit wird als CVE-2022-2673 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus. Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
45 weitere Einträge werden nicht mehr angezeigt