Docebo DoceboLMS 2.0.4/2.0.5/4.0/4.0.4 lib/lib.iotask.php save_connection SQL Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.00

In Docebo DoceboLMS 2.0.4/2.0.5/4.0/4.0.4 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es die Funktion save_connection der Bibliothek lib/lib.iotask.php. Mit der Manipulation mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Multiple SQL injection vulnerabilities in the save_connection function in lib/lib.iotask.php in the iotask module in DoceboLMS 4.0.4 and earlier allow remote authenticated users with admin or teacher privileges to execute arbitrary SQL commands via the (1) coursereportuiconfig[name] or (2) coursereportuiconfig[description] parameters to index.php.

Die Schwachstelle wurde am 30.08.2012 (Website) an die Öffentlichkeit getragen. Auf twitter.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 30.08.2012 mit CVE-2011-5135 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle.

Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Potentiell verwundbare Systeme können mit dem Google Dork inurl:lib/lib.iotask.php gefunden werden.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (71720) und Exploit-DB (18224) dokumentiert.

Produktinfo

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

30.08.2012 🔍
30.08.2012 +0 Tage 🔍
30.08.2012 +0 Tage 🔍
23.03.2015 +935 Tage 🔍
20.02.2019 +1430 Tage 🔍

Quelleninfo

Advisory: twitter.com
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2011-5135 (🔍)
X-Force: 71720
OSVDB: 77632

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 23.03.2015 16:50
Aktualisierung: 20.02.2019 12:32
Anpassungen: 23.03.2015 16:50 (50), 20.02.2019 12:32 (4)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!