In SourceCodester Purchase Order Management System 1.0 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Komponente Supplier Handler. Mittels Manipulieren des Arguments Supplier Name/Address/Contact person/Contact mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Gefahr wurde am 14.10.2022 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2022-3503 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

44 weitere Einträge werden nicht mehr angezeigt