Eine kritische Schwachstelle wurde in FeMiner wms entdeckt. Davon betroffen ist unbekannter Code der Datei /product/savenewproduct.php?flag=1. Durch das Manipulieren des Arguments upfile mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-434. Der Fehler wurde am 03.12.2022 als 14 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2022-4272 statt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1608.002. Er gilt als proof-of-concept. Der Exploit kann von github.com heruntergeladen werden. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
44 weitere Einträge werden nicht mehr angezeigt