bony2023 Discussion-Board functions/main.php display_all_replies str SQL Injection
Eine kritische Schwachstelle wurde in bony2023 Discussion-Board entdeckt. Betroffen davon ist die Funktion display_all_replies
der Datei functions/main.php. Mittels Manipulieren des Arguments str mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Der Fehler wurde am 14.01.2023 als 26439bc4c63632d63ba89ebc0f149b25a9010361 veröffentlicht. Auf github.com kann das Advisory eingesehen werden.
Die Identifikation der Schwachstelle findet als CVE-2015-10051 statt. Die Umsetzung des Angriffs kann dabei im lokalen Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle.
Er gilt als nicht definiert. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Der Patch wird als 26439bc4c63632d63ba89ebc0f149b25a9010361 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
54 weitere Einträge werden nicht mehr angezeigt