Demososo DM Enterprise Website Building System bis 2022.8 Cookie indexDM_load.php dmlogin is_admin schwache Authentisierung

In Demososo DM Enterprise Website Building System bis 2022.8 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um die Funktion dmlogin der Datei indexDM_load.php der Komponente Cookie Handler. Durch Beeinflussen des Arguments is_admin mit der Eingabe y mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-287. Die Schwäche wurde am 23.02.2024 öffentlich gemacht. Bereitgestellt wird das Advisory unter note.zhaoj.in. Die Verwundbarkeit wird als CVE-2024-1817 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Er wird als proof-of-concept gehandelt. Der Exploit wird unter note.zhaoj.in bereitgestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Zeitverlauf

Benutzer

144

Feld

vulnerability_cvss3_meta_tempscore2
vulnerability_cvss3_cna_basescore1
vulnerability_cvss2_nvd_basescore1
source_cve_cna1
vulnerability_cvss3_cna_a1

Commit Conf

90%38
70%17
50%10

Approve Conf

90%38
70%17
80%10
IDÜbermitteltBenutzerFeldÄnderungBemerkungAkzeptiertStatusC
1569516913.03.2024VulD...cvss3_cna_basescore7.3see CVSS documentation13.03.2024akzeptiert
90
1569516813.03.2024VulD...cvss2_nvd_basescore7.5nist.gov13.03.2024akzeptiert
90
1569516713.03.2024VulD...cvss3_meta_tempscore6.9see CVSS documentation13.03.2024akzeptiert
90
1569516613.03.2024VulD...cve_cnaVulDBnvd.nist.gov13.03.2024akzeptiert
70
1569516513.03.2024VulD...cvss3_cna_aLnvd.nist.gov13.03.2024akzeptiert
70
1569516413.03.2024VulD...cvss3_cna_iLnvd.nist.gov13.03.2024akzeptiert
70
1569516313.03.2024VulD...cvss3_cna_cLnvd.nist.gov13.03.2024akzeptiert
70
1569516213.03.2024VulD...cvss3_cna_sUnvd.nist.gov13.03.2024akzeptiert
70
1569516113.03.2024VulD...cvss3_cna_uiNnvd.nist.gov13.03.2024akzeptiert
70
1569516013.03.2024VulD...cvss3_cna_prNnvd.nist.gov13.03.2024akzeptiert
70
1569515913.03.2024VulD...cvss3_cna_acLnvd.nist.gov13.03.2024akzeptiert
70
1569515813.03.2024VulD...cvss3_cna_avNnvd.nist.gov13.03.2024akzeptiert
70
1569515713.03.2024VulD...cvss2_nvd_aiPnvd.nist.gov13.03.2024akzeptiert
70
1569515613.03.2024VulD...cvss2_nvd_iiPnvd.nist.gov13.03.2024akzeptiert
70
1569515513.03.2024VulD...cvss2_nvd_ciPnvd.nist.gov13.03.2024akzeptiert
70
1569515413.03.2024VulD...cvss2_nvd_auNnvd.nist.gov13.03.2024akzeptiert
70
1569515313.03.2024VulD...cvss2_nvd_acLnvd.nist.gov13.03.2024akzeptiert
70
1569515213.03.2024VulD...cvss2_nvd_avNnvd.nist.gov13.03.2024akzeptiert
70
1569515113.03.2024VulD...cve_nvd_summaryA vulnerability has been found in Demososo DM Enterprise Website Building System up to 2022.8 and classified as critical. Affected by this vulnerability is the function dmlogin of the file indexDM_load.php of the component Cookie Handler. The manipulation of the argument is_admin with the input y leads to improper authentication. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-254605 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.cve.mitre.org13.03.2024akzeptiert
70
1569515013.03.2024VulD...cve_assigned1708642800 (23.02.2024)cve.mitre.org13.03.2024akzeptiert
70

45 weitere Einträge werden nicht mehr angezeigt

🔒 Login Required

You need to signup and login to see more of the remaining 45 results.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!