SkilMatch Staffing Systems JobLister3 index.php jobid SQL Injection
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.1 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in SkilMatch Staffing Systems JobLister3 - die betroffene Version ist nicht genau spezifiziert - entdeckt. Dies betrifft ein unbekannter Teil der Datei index.php. Durch das Manipulieren des Arguments jobid mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Multiple SQL injection vulnerabilities in SkilMatch Staffing Systems JobLister3 allow remote attackers to execute arbitrary SQL commands via (1) the search form or (2) the jobid parameter to index.php in a showbyID action.Die Schwachstelle wurde am 13.08.2007 durch joseph.giron13 (Website) veröffentlicht. Auf securityfocus.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 15.08.2007 als CVE-2007-4359 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle.
Er wird als hoch funktional gehandelt. Potentiell verwundbare Systeme können mit dem Google Dork inurl:index.php gefunden werden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (36052) dokumentiert.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.1
VulDB Base Score: 7.3
VulDB Temp Score: 7.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
13.08.2007 🔍13.08.2007 🔍
15.08.2007 🔍
15.08.2007 🔍
17.08.2007 🔍
17.08.2007 🔍
16.03.2015 🔍
30.10.2017 🔍
Quellen
Advisory: securityfocus.com⛔Person: joseph.giron13
Status: Nicht definiert
CVE: CVE-2007-4359 (🔍)
X-Force: 36052 - JobLister3 index.php SQL injection
SecurityFocus: 25296 - SkilMatch Systems JobLister3 Index.PHP SQL Injection Vulnerability
Secunia: 26440 - JobLister index.php Two SQL Injection Vulnerabilities, Moderately Critical
OSVDB: 36416 - JobLister index.php Multiple Parameter SQL Injection
Eintrag
Erstellt: 16.03.2015 12:18Aktualisierung: 30.10.2017 07:49
Anpassungen: 16.03.2015 12:18 (53), 30.10.2017 07:49 (8)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.