Es wurde eine problematische Schwachstelle in ForU CMS ausgemacht. Es betrifft eine unbekannte Funktion der Datei cms_chip.php. Mittels Manipulieren des Arguments name mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Die Schwachstelle wurde am 11.11.2022 publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2022-3943 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle. Er gilt als proof-of-concept. Unter github.com wird der Exploit zum Download angeboten. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
45 weitere Einträge werden nicht mehr angezeigt