ChurchInfo bis 1.2.2 personview.php PledgeID SQL Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

Es wurde eine Schwachstelle in ChurchInfo bis 1.2.2 (Customer Relationship Management System) entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung der Datei personview.php. Durch das Beeinflussen des Arguments PledgeID mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Multiple SQL injection vulnerabilities in ChurchInfo allow remote attackers to execute arbitrary SQL commands via the PersonID parameter to (1) PersonView.php, (2) MemberRoleChange.php, (3) PropertyAssign.php, (4) WhyCameEditor.php, (5) GroupPropsEditor.php, (6) Reports/PDFLabel.php, or (7) UserDelete.php, (8) DepositSlipID parameter to DepositSlipEditor.php, (9) QueryID parameter to QueryView.php, GroupID parameter to (10) GroupView.php, (11) GroupMemberList.php, (12) MemberRoleChange.php, (13) GroupDelete.php, (14) /Reports/ClassAttendance.php, or (15) /Reports/GroupReport.php, (16) PropertyID parameter to PropertyEditor.php, FamilyID parameter to (17) Canvas05Editor.php, (18) CanvasEditor.php, or (19) FamilyView.php, or (20) PledgeID parameter to PledgeDetails.php.

Die Schwachstelle wurde am 01.08.2005 durch thegreatone2176 (Website) publiziert. Das Advisory findet sich auf marc.theaimsgroup.com. Die Identifikation der Schwachstelle wird seit dem 05.08.2005 mit CVE-2005-2473 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet.

Ein Suchen von inurl:personview.php lässt dank Google Hacking potentiell verwundbare Systeme finden.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (21647) dokumentiert. Die Einträge 25948, 82850, 82851 und 82852 sind sehr ähnlich.

Produktinfo

Typ

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

01.08.2005 🔍
01.08.2005 +0 Tage 🔍
02.08.2005 +0 Tage 🔍
02.08.2005 +0 Tage 🔍
03.08.2005 +0 Tage 🔍
05.08.2005 +2 Tage 🔍
05.08.2005 +0 Tage 🔍
11.03.2015 +3505 Tage 🔍
10.07.2018 +1217 Tage 🔍

Quelleninfo

Advisory: marc.theaimsgroup.com
Person: thegreatone2176
Status: Bestätigt

CVE: CVE-2005-2473 (🔍)
X-Force: 21647 - ChurchInfo SQL injection
SecurityTracker: 1014617
SecurityFocus: 14438 - ChurchInfo Multiple SQL Injection Vulnerabilities
Secunia: 16292 - ChurchInfo SQL Injection Vulnerabilities, Less Critical
OSVDB: 18408 - ChurchInfo Canvas05Editor.php FamilyID Parameter SQL Injection

Siehe auch: 🔍

Eintraginfo

Erstellt: 11.03.2015 23:39
Aktualisierung: 10.07.2018 09:00
Anpassungen: 11.03.2015 23:39 (58), 10.07.2018 09:00 (8)
Komplett: 🔍
Cache ID: 18:1C3:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!