Email Registration 5.x-2.1 auf Drupal email_registration.module email_registration_user namenew SQL Injection
In Email Registration 5.x-2.1 für Drupal wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es die Funktion email_registration_user
der Datei email_registration.module. Mit der Manipulation des Arguments namenew mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Gefahr wurde am 05.03.2023 als 126c141b7db038c778a2dc931d38766aad8d1112 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2008-10004 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle.
Er gilt als nicht definiert. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 6.x-1.0 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Der Patch wird als 126c141b7db038c778a2dc931d38766aad8d1112 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
56 weitere Einträge werden nicht mehr angezeigt