gesellix titlelink auf Joomla plugin_content_title.php phrase SQL Injection
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in gesellix titlelink für Joomla gefunden. Sie wurde als kritisch eingestuft. Dies betrifft einen unbekannten Teil der Datei plugin_content_title.php. Mit der Manipulation des Arguments phrase mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2010-10003 statt. Es steht kein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.
Details
In gesellix titlelink - die betroffene Version ist nicht bekannt - auf Joomla (Joomla Component) wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktionalität der Datei plugin_content_title.php. Mit der Manipulation des Arguments phrase mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird.
Die Schwachstelle wurde am 04.01.2023 als b4604e523853965fa981a4e79aef4b554a535db0 öffentlich gemacht. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird als CVE-2010-10003 geführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1505 bezeichnet.
Ein Suchen von inurl:plugin_content_title.php lässt dank Google Hacking potentiell verwundbare Systeme finden.
Die Schwachstelle lässt sich durch das Einspielen des Patches b4604e523853965fa981a4e79aef4b554a535db0 lösen. Dieser kann von github.com bezogen werden. Das Advisory stellt fest:
[#20653] SQL Injection: $phrase is escaped now, yet most of the plugins have to be updated according to plugin_content_title.phpBe aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.9VulDB Meta Temp Score: 6.9
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CNA Base Score: 5.5
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: b4604e523853965fa981a4e79aef4b554a535db0
Timeline
04.01.2023 🔍04.01.2023 🔍
04.01.2023 🔍
28.01.2023 🔍
Quellen
Produkt: github.comAdvisory: b4604e523853965fa981a4e79aef4b554a535db0
Status: Bestätigt
CVE: CVE-2010-10003 (🔍)
GCVE (CVE): GCVE-0-2010-10003
GCVE (VulDB): GCVE-100-217351
Eintrag
Erstellt: 04.01.2023 10:10Aktualisierung: 28.01.2023 07:17
Anpassungen: 04.01.2023 10:10 (44), 28.01.2023 07:02 (2), 28.01.2023 07:17 (28)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.