SourceCodester Internship Portal Management System 1.0 admin/edit_activity.php activity_id SQL Injection
In SourceCodester Internship Portal Management System 1.0 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um eine nicht näher bekannte Funktion der Datei admin/edit_activity.php. Dank der Manipulation des Arguments activity_id mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Schwäche wurde am 03.04.2024 öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird als CVE-2024-3256 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus. Er wird als proof-of-concept gehandelt. Der Exploit kann von github.com heruntergeladen werden. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
55 weitere Einträge werden nicht mehr angezeigt