Demososo DM Enterprise Website Building System bis 2022.8 Cookie indexDM_load.php dmlogin is_admin schwache Authentisierung
In Demososo DM Enterprise Website Building System bis 2022.8 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um die Funktion dmlogin
der Datei indexDM_load.php der Komponente Cookie Handler. Durch Beeinflussen des Arguments is_admin mit der Eingabe y
mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-287. Die Schwäche wurde am 23.02.2024 öffentlich gemacht. Bereitgestellt wird das Advisory unter note.zhaoj.in.
Die Verwundbarkeit wird als CVE-2024-1817 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung.
Er wird als proof-of-concept gehandelt. Der Exploit wird unter note.zhaoj.in bereitgestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
45 weitere Einträge werden nicht mehr angezeigt