SourceCodester Web-Based Student Clearance System 1.0 Photo edit-photo.php erweiterte Rechte
In SourceCodester Web-Based Student Clearance System 1.0 wurde eine kritische Schwachstelle entdeckt. Betroffen ist eine unbekannte Verarbeitung der Datei edit-photo.php der Komponente Photo Handler. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-434. Die Schwäche wurde am 09.10.2022 von Akash Pandey (l3v1ath0n) mittels Blog Post (Medium) öffentlich gemacht. Das Advisory findet sich auf medium.com. Die Veröffentlichung passierte hierbei ohne Koordination mit dem Hersteller. Die Verwundbarkeit wird als CVE-2022-3436 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1608.002 bezeichnet. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von packetstormsecurity.com geschehen. Mindestens 29 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
36 weitere Einträge werden nicht mehr angezeigt