VDB-214760 · CVE-2022-4272 · Issue 14

FeMiner wms savenewproduct.php upfile erweiterte Rechte

Eine kritische Schwachstelle wurde in FeMiner wms entdeckt. Davon betroffen ist unbekannter Code der Datei /product/savenewproduct.php?flag=1. Durch das Manipulieren des Arguments upfile mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-434. Der Fehler wurde am 03.12.2022 als 14 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2022-4272 statt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1608.002. Er gilt als proof-of-concept. Der Exploit kann von github.com heruntergeladen werden. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.

Zeitverlauf

Benutzer

1	40

Feld

vulnerability_cvss3_meta_tempscore	2
vulnerability_cvss3_meta_basescore	2
vulnerability_cvss3_cna_basescore	1
vulnerability_cvss3_nvd_basescore	1
source_cve_cna	1

Commit Conf

90%	33
70%	20
50%	11

Approve Conf

90%	33
70%	20
80%	11

ID	Übermittelt	Benutzer	Feld	Änderung	Bemerkung	Akzeptiert	Status	C
13443118	26.12.2022	VulD...	cvss3_cna_basescore	6.3	see CVSS documentation	26.12.2022	akzeptiert	90
13443117	26.12.2022	VulD...	cvss3_nvd_basescore	9.8	nist.gov	26.12.2022	akzeptiert	90
13443116	26.12.2022	VulD...	cvss3_meta_tempscore	7.3	see CVSS documentation	26.12.2022	akzeptiert	90
13443115	26.12.2022	VulD...	cvss3_meta_basescore	7.5	see CVSS documentation	26.12.2022	akzeptiert	90
13443114	26.12.2022	VulD...	cve_cna	VulDB	nvd.nist.gov	26.12.2022	akzeptiert	70
13443113	26.12.2022	VulD...	cvss3_cna_a	L	nvd.nist.gov	26.12.2022	akzeptiert	70
13443112	26.12.2022	VulD...	cvss3_cna_i	L	nvd.nist.gov	26.12.2022	akzeptiert	70
13443111	26.12.2022	VulD...	cvss3_cna_c	L	nvd.nist.gov	26.12.2022	akzeptiert	70
13443110	26.12.2022	VulD...	cvss3_cna_s	U	nvd.nist.gov	26.12.2022	akzeptiert	70
13443109	26.12.2022	VulD...	cvss3_cna_ui	N	nvd.nist.gov	26.12.2022	akzeptiert	70
13443108	26.12.2022	VulD...	cvss3_cna_pr	L	nvd.nist.gov	26.12.2022	akzeptiert	70
13443107	26.12.2022	VulD...	cvss3_cna_ac	L	nvd.nist.gov	26.12.2022	akzeptiert	70
13443106	26.12.2022	VulD...	cvss3_cna_av	N	nvd.nist.gov	26.12.2022	akzeptiert	70
13443105	26.12.2022	VulD...	cvss3_nvd_a	H	nvd.nist.gov	26.12.2022	akzeptiert	70
13443104	26.12.2022	VulD...	cvss3_nvd_i	H	nvd.nist.gov	26.12.2022	akzeptiert	70
13443103	26.12.2022	VulD...	cvss3_nvd_c	H	nvd.nist.gov	26.12.2022	akzeptiert	70
13443102	26.12.2022	VulD...	cvss3_nvd_s	U	nvd.nist.gov	26.12.2022	akzeptiert	70
13443101	26.12.2022	VulD...	cvss3_nvd_ui	N	nvd.nist.gov	26.12.2022	akzeptiert	70
13443100	26.12.2022	VulD...	cvss3_nvd_pr	N	nvd.nist.gov	26.12.2022	akzeptiert	70
13443099	26.12.2022	VulD...	cvss3_nvd_ac	L	nvd.nist.gov	26.12.2022	akzeptiert	70