Eine Schwachstelle wurde in SourceCodester Human Resource Management System 1.0 entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei /hrm/controller/employee.php der Komponente Content-Type Handler. Mittels dem Manipulieren des Arguments pfimg mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-434. Die Schwachstelle wurde am 03.12.2022 von Ngo Van Tu herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2022-4273 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1608.002 aus. Er wird als proof-of-concept gehandelt. Der Exploit wird unter github.com zur Verfügung gestellt. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.

46 weitere Einträge werden nicht mehr angezeigt