Campcodes Complete Online DJ Booking System 1.0 /admin/aboutus.php pagetitle Cross Site Scripting
In Campcodes Complete Online DJ Booking System 1.0 wurde eine problematische Schwachstelle entdeckt. Dabei geht es um eine nicht genauer bekannte Funktion der Datei /admin/aboutus.php. Durch das Manipulieren des Arguments pagetitle mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Schwäche wurde am 20.03.2024 öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird als CVE-2024-2720 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus. Er wird als proof-of-concept gehandelt. Unter github.com wird der Exploit zum Download angeboten. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
55 weitere Einträge werden nicht mehr angezeigt