House Rental System POST Request tenant-engine.php id_photo erweiterte Rechte
Eine Schwachstelle wurde in House Rental System gefunden. Sie wurde als kritisch eingestuft. Dies betrifft einen unbekannten Teil der Datei tenant-engine.php der Komponente POST Request Handler. Durch Manipulieren des Arguments id_photo mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-434. Der Fehler wurde am 03.12.2022 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2022-4276 statt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1608.002. Er gilt als proof-of-concept. Unter github.com wird der Exploit zur Verfügung gestellt. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
42 weitere Einträge werden nicht mehr angezeigt