SourceCodester Online Tours & Travels Management System 1.0 payment_operation.php booking_id SQL Injection
Es wurde eine kritische Schwachstelle in SourceCodester Online Tours & Travels Management System 1.0 gefunden. Betroffen hiervon ist ein unbekannter Ablauf der Datei user\operations\payment_operation.php. Durch Manipulation des Arguments booking_id mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Das Problem wurde am 29.01.2023 publiziert. Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird mit CVE-2023-0570 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus. Er wird als proof-of-concept gehandelt. Unter github.com wird der Exploit zum Download angeboten. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
51 weitere Einträge werden nicht mehr angezeigt