Simplecustomer Simple Customer login.php email SQL Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.8$0-$5k0.00

Es wurde eine kritische Schwachstelle in Simplecustomer Simple Customer - die betroffene Version ist unbekannt - ausgemacht. Es betrifft eine unbekannte Funktion der Datei login.php. Dank der Manipulation des Arguments email mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

SQL injection vulnerability in login.php in Simple Customer as downloaded on 20081118 allows remote attackers to execute arbitrary SQL commands via the email parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information.

Die Schwachstelle wurde am 17.11.2008 (Website) publik gemacht. Das Advisory kann von osvdb.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 26.02.2009 unter CVE-2008-6326 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind sowohl technische Details als auch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505.

Es wurde sofort nach dem Advisory ein Exploit veröffentlicht. Er wird als hoch funktional gehandelt. Mittels inurl:login.php können durch Google Hacking potentiell verwundbare Systeme gefunden werden.

Das Problem kann durch die Einführung einer Authentisierung adressiert werden.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (46675) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 46866.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.8

VulDB Base Score: 7.3
VulDB Temp Score: 6.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Hoch funktional
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Authentication
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Timelineinfo

17.11.2008 🔍
17.11.2008 +0 Tage 🔍
17.11.2008 +0 Tage 🔍
18.11.2008 +1 Tage 🔍
26.02.2009 +99 Tage 🔍
27.02.2009 +1 Tage 🔍
17.03.2015 +2209 Tage 🔍
29.11.2017 +988 Tage 🔍

Quelleninfo

Advisory: osvdb.org
Status: Nicht definiert

CVE: CVE-2008-6326 (🔍)
X-Force: 46675 - Simple Customer login.php SQL injection
SecurityFocus: 32339 - Simple Customer 'login.php' SQL Injection Vulnerability
Secunia: 32727
OSVDB: 49916 - Simple Customer login.php Multiple Parameter SQL Injection

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 17.03.2015 16:11
Aktualisierung: 29.11.2017 14:27
Anpassungen: 17.03.2015 16:11 (59), 29.11.2017 14:27 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!