In Campcodes Video Sharing Website 1.0 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktionalität der Datei admin_class.php. Durch das Beeinflussen des Arguments email mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Gefahr wurde am 14.04.2023 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2023-2038 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505. Er gilt als proof-of-concept. Unter github.com wird der Exploit zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
24 weitere Einträge werden nicht mehr angezeigt