SourceCodester Employee Task Management System 1.0 attendance-info.php user_id SQL Injection
Es wurde eine Schwachstelle in SourceCodester Employee Task Management System 1.0 ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Datei attendance-info.php. Durch das Manipulieren des Arguments user_id mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Das Problem wurde am 16.03.2024 publiziert. Das Advisory findet sich auf github.com. Die Identifikation der Schwachstelle wird mit CVE-2024-2556 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet. Er wird als proof-of-concept gehandelt. Der Exploit wird unter github.com bereitgestellt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
55 weitere Einträge werden nicht mehr angezeigt