Es wurde eine problematische Schwachstelle in eolinker apinto-dashboard ausgemacht. Es betrifft eine unbekannte Funktion der Datei /login. Durch Beeinflussen des Arguments callback mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Die Schwachstelle wurde am 01.11.2022 publik gemacht. Das Advisory kann von c2.im5i.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2022-3804 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007. Er gilt als proof-of-concept. Der Exploit wird unter c2.im5i.com bereitgestellt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
45 weitere Einträge werden nicht mehr angezeigt