S-CMS 5.0 Build 20220328 Contact Information Page Make a Call Cross Site Scripting
In S-CMS 5.0 Build 20220328 wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung der Komponente Contact Information Page. Durch Manipulation des Arguments Make a Call mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Schwäche wurde am 09.12.2022 öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird als CVE-2022-4377 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von github.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
44 weitere Einträge werden nicht mehr angezeigt